2014年6月19日DDoS攻撃障害 のバックアップ(No.7)

2014年6月19日に発生したPSO2関連サーバー群を狙ったDDoS攻撃によるサービス停止障害についてのまとめ。
コメント欄は設けていません。雑談掲示板をご利用下さい。
今回の障害においてPSO2を運営する『株式会社セガ』は被害者です。ご配慮下さい。



  • 公式
    【PSO2】第三者からの攻撃によるサービス一時停止について
    http://pso2.jp/players/news/?id=3835
    【PSO2es】第三者からの攻撃によるサービス一時停止について
    http://pso2.jp/es/players/news/?id=175
    ※注意 公式サイトはPSO2、PSO2esどちらも同じDDoS攻撃を受けてダウンしているため、メンテナンス中ページにリダイレクトされます。
    公式サイトもDDoS攻撃を受けている状況です。過度なアクセスは控えるようにしてください。


停止、中止となったサービス Edit

  • “PC”版、“PS Vita”版『PSO2』へのログイン
  • スマートフォン版『PSO2es』へのログイン
  • PSO2公式サイト
  • PSO2es公式サイト
  • アークスキャッシュ(AC)の購入
  • アークス候補生! 小原莉子 第10回放送(2014/06/19)
  • アークス候補生! 高木友梨香 第10回放送(2014/06/20)
    ※「PSO2アークス候補生!」について、サービス再開まで一時中止。

停止期間 Edit

6月19日19:18 ~


原因と経過 Edit

6月19日

  • 17:35
    ゲームサーバーに正常に接続しづらい現象が発生。断続的にゲームサーバーがダウンし、切断が多数報告される。
  • 18:00
    PSO2プレイヤーズサイトに"ゲームサーバー接続障害のお知らせ"が掲載される。
    http://pso2.jp/players/news/?id=3830
  • 18:05
    PSO2esプレイヤーズサイトに"ゲームサーバー接続障害のお知らせ"が掲載される。
    http://pso2.jp/es/players/news/?id=174
  • 19:15
    PSO2プレイヤーズサイトに"第三者からの攻撃によるサービス一時停止について"が掲載される。今回の障害の原因は不特定な第三者によるPSO2サーバー群を狙ったDDoS攻撃であること、現在も攻撃が継続的に続いていること、サービスの一時停止を実施する可能性があることが発表される。
    http://pso2.jp/players/news/?id=3835
  • 19:18
    PSO2、PSO2esのサービスが一時停止される。
  • 19:25
    PSO2esプレイヤーズサイトに"第三者からの攻撃によるサービス一時停止について"が掲載される。スペシャルクエスト「ラッピー特殊調査」の配信が中断される事に関して、何らかのお詫びを検討していることが発表される。
    http://pso2.jp/es/players/news/?id=175
  • 19:28
    公式Twitterアカウント「ぷそナビ」のツイートで、「アークス候補生!小原莉子」第10回放送を中止することが発表される。
    https://twitter.com/sega_pso2/status/479571361388433408
  • 19:40
    PSO2esプレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。19:18にPSO2esのサービスを一時停止したこと、IPアドレスの偽装により攻撃元が特定できず、現状では状況改善の見込みもないことが発表される。その後更新され、プレイデータに関しても問題ないと発表。
  • 20:00
    PSO2プレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。19:18にPSO2のサービスも一時停止したことを発表。
  • 23:00
    PSO2プレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。お知らせの種別が"障害"から"重要"に変更される。攻撃は依然継続しており、サービスの再開目途が立たない状況。今夜中の復旧については、厳しい状況にある。6月20日(金)13:00に続報を発表すると予告される。また、6月21日(土)開催予定の「ファンタシースター感謝祭2014」大阪会場については、当日のサーバーの停止状況にかかわらずイベントを開催すると発表。必ずサービスを再開するため、引き続き対応を進めているとのこと。
  • 23:05
    PSO2esプレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。内容は上記の通り。
    http://pso2.jp/players/news/?id=3835
  • 23:11
    公式Twitterアカウント「ぷそナビ」のツイートで、「ファンタシースター感謝祭2014」大阪会場のアークスグランプリも通常通り開催すると発表。
    https://twitter.com/sega_pso2/status/479627437609738241
    6月20日
  • 08:54
    PSO2、PSO2es公式サイトに接続できなくなる。
  • 09:07
    PSO2es公式Twitterアカウントのツイートで、PSO2es公式サイトにもDDoS攻撃が開始され、公式サイトも一時的に停止したと発表。停止中の告知について、公式Twitterおよびit-tell、公式ブログなどで行うと発表。
    https://twitter.com/sega_pso2es/status/479792666914598912
  • 09:10
    公式Twitterアカウント「ぷそナビ」のツイートで、PSO2公式サイトにもDDoS攻撃が開始されたと発表。以後の内容は上記の通り。
    https://twitter.com/sega_pso2/status/479778331634577409
  • 09:20
    公式ブログが更新される。内容は上記ツイートと同様。
    http://ameblo.jp/sega-psblog/entry-11881097750.html
  • 13:00
    PSO2、PSO2esの公式Twitterアカウント、it-tells内PSO2お知らせコミュ、公式ブログが更新される。
    現在も第三者によるDDoS攻撃は継続して行われている状況で、警察当局に被害を受けている旨を通報していると発表し、現状について、さまざまな対策を講じているものの、まだサービスの再開には時間を要する状況で、6月20日(金)18:00に再度状況を発表すると予告した。
    https://twitter.com/sega_pso2/status/479836055282008064
    https://twitter.com/sega_pso2es/status/479836162056388609
    http://ameblo.jp/sega-psblog/entry-11881191759.html
  • 13:55
    PSO2プロデューサー酒井より、公式ブログが更新される。
    http://ameblo.jp/sega-psblog/entry-11880956031.html
  • 16:12
    公式Twitterアカウント「ぷそナビ」のツイートで、本日の『アークス候補生!金曜担当高木友梨香』の放送は中止すると発表。
    https://twitter.com/sega_pso2/status/479884363018952704
  • 18:00
    PSO2、PSO2esの公式Twitterアカウント、公式ブログが更新。
    現在も第三者による激しいDDoS攻撃が継続して行われている状況で、サービス再開時期の見込みはいまだ未定。続報について、6月23日(月)14:00に発表すると予告。
    また、本件に関するお詫びなどとして、下記の通り対応を検討しているとの発表。
    ・ユーザーに何らかのお詫びを検討。
    ・プレミアムセットなどの有効期間が設けられているアイテムについては、期間延長できるよう対応を検討。
    ・予定していたイベントやキャンペーンについて、サービス再開後にあらためて詳細を連絡。
    ・お詫びの詳細や実施時期について、後日あらためてお知らせする。
    https://twitter.com/sega_pso2/status/479912010960744449
    https://twitter.com/sega_pso2es/status/479911733792743424
    http://ameblo.jp/sega-psblog/entry-11881318947.html
  • 18:14
    It-tellsのお知らせコミュ更新を確認。内容は18:00に各メディアからでている内容と同じ。
    https://ittells.jp/ittells/app/topic/comment?communityCode=34&topicCode=81&sequenceNumber=283

今ココ


DDoS攻撃とは Edit

ぶんさんがた‐サービスきょひこうげき【分散型サービス拒否攻撃】
《distributed denial of service attack》コンピューターネットワークを通じて攻撃を行う不正アクセスの一種。悪意ある第三者が多数のパソコンにコンピューターウイルスを送り込んで感染させ、特定のウェブサーバーなどに対し、不正なデータや大量のデータを送りつけるサービス拒否攻撃を仕掛けるよう操る。パソコンの所有者が気づかないまま攻撃に加担してしまうほか、真の犯人を特定することが非常に困難という特徴がある。分散型DoS(ドス)攻撃。DDoS(ディードス)攻撃。
[補説]
2009年に米国や韓国の政府サイトがこの手法で被害を受けたことで知られる。
→分散

デジタル大辞泉 (C) SHOGAKUKAN Inc.1995 1998 2012

DDoS攻撃イメージ改_.jpg
※サーバー強化を行うと上記の図では青い川らしきところにかかっている道(橋?)が広くなる。
 しかし、送られてくる情報量が受け入れ可能量を上回れば同じ為、
 根本解決には大量の情報を送ってきている元を絶つ必要がある。
 


加担してるかも?と思ったら Edit

・自身のPCを確認する
基本的にはウィルスチェック、マルウェアチェックを掛けるのが良いですがチェックに掛からない場合も存在します。
そんな時はMicrosoft Network Monitor等、ネットワーク解析ツールを導入してで自身のネットワークを確認するのが良いですが専用ソフトはやや難解な部分がある為
WindowsVISTA/7/8等、WINDOWSにも簡単ながら確認する方法が有るので記載します。
タスクバー(標準であればデスクトップ画面の下に出ている奴)を右クリックしてメニューを出します。その中に「タスクマネージャーの起動」がある筈なので実行します。
タスクマネージャーが起動したらパフォーマンスのタブをクリックし「リソースモニター」をクリックします。
リソースモニターが起動したらネットワークのタブをクリックしてください。どのようなネットワーク活動が行われているか表示されますので大まかに確認するべき項目は
「ネットワーク活動」の合計値、何もしていない状態で数値が異常に多いもしくは短時間に異常に増加する項目がないか確認してください。
「TCP接続」のリモートアドレスでPSO2が使用しているIPの210.129.xxx.xxx(xxxは複数該当値があり)に対してPSO2を起動していないのにアクセスしていないか等を確認してください。
これで確実に判明するという物では有りませんが目安にはなると思われますので不安な方はチェックしてみると良いでしょう。


万が一、上記のような怪しい症状が出ている場合、ネットワークを切断の上、ウィルス、マルウェアスキャン等をフルスキャンで実施する。
該当するプロセスを停止・削除(※但しよく判らず削除するのは逆に危険)させてみる等
方法は色々あるのですが必ずしも確実ではないので最悪、必要なデータをバックアップの上、クリーンインストール、初期化リカバリーの実施も検討してください。
ddos_kaku.jpg
※上記はPC、Windows系OSにおける対処法です。
DDoS攻撃における踏み台は最近はPCだけでなくスマートフォン、タブレット等も利用されることがあります。
何もしてないのにバッテリーの減りが通常より早い、本体が異常に熱くなっている等の症状がある場合はウイルスチェック等してみると良いでしょう。


・使用しているルータを確認する
ルーターにはDNSサーバーとして外部からの再帰的な問い合わせを許可したり、しなかったりする設定・機能があります。
許可状態である状態をオープンリゾルバと言います。この状態になっているとDDoSの中継としてルータが利用されることがあります。
基本的にルータ側に設定があるのですが状態を確認できるサイトがありますので紹介します。
JPCERT コーディネーションセンター オープンリゾルバ確認サイトになります。
こちらのサイトを利用し、確認して頂き、判定内容によっては使用しているルータの設定変更やメーカーへの問い合わせをしてみると良いかもしれません。
判定結果が2種類とも「オープンリゾルバではありません」の場合はひとまず安心ですが、あくまで「オープンリゾルバを使った攻撃手法には悪用されない」というだけです。
上記のようなウィルスチェック等も合わせて実施しましょう。


判定結果例
op-resolver.jpg
この場合、供に問題はありません。プロバイダ側のDNSはともかく、自身のルータ側がリゾルバであると判定されたら上記でも書いたように
ルーターの設定の確認。ファームウェアのアップデート。メーカーへの問い合わせを行ってください。
万が一、プロバイダ側のDNSがリゾルバであるとの判定が出た場合、JPCERTの方で連絡を行ってくれますので
こちらのページの手順に沿って報告をして頂けると幸いです。



ホーム リロード   新規 下位ページ作成 コピー 編集 添付 一覧 最終更新 差分 バックアップ 検索   凍結 名前変更     最終更新のRSS