前号: No 359 / 次号: No 361 / 一覧(note.com)へ / ブログページに戻る

メールマガジン「がんばりすぎないセキュリティ」No360 (24/06/17)

ニコニコ動画に何が起きたか考えてみる(360号)


2024年6月8日にニコニコ動画に対する外部からの攻撃が行われました。

この記事を書いているのは6月16日ですが、現在も調査対応中ですので、詳細な情報は出てきていません。
ですので、この記事では何が起きているかを想像しつつ、筆者なりの見解を示します。

あわせて、ドワンゴ(ニコニコ動画の運営元)の行動と対応の速さは特筆すべきものがありますので、その点についてもお話します。


1. ニコニコ動画へのサイバー攻撃

6/8の深夜から早朝にかけてニコニコ動画でサービスが正常に利用できない事態が発生します。 ニコニコ動画に限らず、大規模サイトでは多数のサーバを連動させながらサービスを実現しています。小規模なサイトなら、1台で全てをまかなう場合もありますが、いくら高性能なサーバでも処理速度には限界があります。 そのため、規模が大きくなるに従ってサーバの数を増やして分業を行えるシステムを設計し、運用します。 ニコニコの場合、数百のサーバに分業を行っているようです。 何もその全てがニコニコ動画専用というわけではありません。 例えば各サーバのログ(実行履歴)を集中管理するためにログサーバを作る場合があります。 これなどは、複数のサービスのログをため込むのが仕事ですので、たくさんのサービスから利用されます。 ニコニコ動画は現在KADOKAWAグループのグループ会社であるドワンゴが運営しています。 そのため、KADOKAWAグループとして他サービス用に提供しているサーバも利用しています。 たくさんのサーバが協同してサービスを提供しているのですね。 今回の攻撃は、ニコニコ動画のサーバだけでなく、KADOKAWAグループが運営している多数のサーバに対して行われたようです。 当初はDDoS攻撃(サーバに不必要なリクエストを多数送り込んでサーバをダウンさせる攻撃)とも言われていましたが、ランサムウェア(サーバ上のファイルを暗号化し、サービスを継続できなくする攻撃)を含む複数パターンの攻撃が行われていたとのことです。 ニコニコ動画はクラウドサービスを用いて実現されているのですが、今回はクラウドサービスそのものを狙った攻撃を受けた様子です。

2. クラウドサービス

クラウドサービスというのは、サーバのハードウェアを持たずにサーバの利用権だけを保持する運用形態です。 2010年くらいまではサーバというのは当然のように自分達で購入するものでした。 購入したサーバは自社内のサーバルームや事務所内に置きました。 こういったサーバをオンプレミス(On Premise:社内に置いてあるサーバの意味)と呼びます。 自社内に置いたサーバは、当然ながら社内からしかアクセスできませんから、ある意味安全が確保されていました。(この考え方は少々古いのですが、ここでは触れません) ですが、社内に設置すると安全ではあるものの、公開したいケースでは困ります。 公開したいケースの典型例が、自社のWebページ(いわゆるホームページ)です。 そのためにレンタルサーバというものが登場します。インターネットに接続した状態のサーバを月額固定で貸してくれるサービスで、今もたくさん存在しています。 2010年頃にレンタルサーバに似たサービスとして、クラウドサービスというものが登場します。 これも、レンタルサーバと似たサービスですが、仮想マシンというものを活かして、より安価にサーバを提供できるということで、一気に普及します。 クラウドサービスについて詳しく知りたい方は以下をご参照ください。  No324 クラウドサービスは安全なのか?  https://note.com/egao_it/n/n46892a381cfa 仮想マシンについても詳しくは以下をご参照ください。  No325 仮想マシンって結局なんなの?  https://note.com/egao_it/n/n5b5bef4c0251 この便利なクラウドサービス、社内のサービスでも使いたいのですが、そうなると大きな問題があります。 レンタルサーバにしてもクラウドサービスにしても基本的にはインターネット上にあるサーバですから、誰もがアクセスできてしまいます。まさか社内の秘密情報満載のサーバを誰でも見られるところに置けません。 そこで登場したのがプライベートクラウドと呼ばれるサービスです。 それまでの、誰でも使える前提のクラウドサービスはパブリッククラウドと呼ばれます。 それに対して、プライベートクラウドと呼ばれる限られたメンバだけが利用できるクラウドサービスです。 もちろん、クラウドサービスはインターネット上に存在していますから、厳密にはプライベートクラウドのサーバにも誰だってアクセスできます。それをIP制限といった技法を用いて、関係者以外はアクセスできないように制御しています。

3. ニコニコ動画はどっちのクラウドに?

公開サービスはパブリッククラウドを使いますので、ニコニコ動画もパブリッククラウド上に存在しています。同時にニコニコ動画では画面に利用者情報など表示することも必要です。 ですが、利用者情報を公開サーバに置くことは危険すぎます。 そのため、利用者情報や課金情報といった公開したくない情報はプライベートクラウドに置き、公開して良い情報はパブリッククラウドに置く、という二重構造を取っているはずです。 こういった二重構造を持つことはたいていのサービスで行われています。 ですので、パブリッククラウドには、一般的に盗まれて困る情報を置かないようにし、機微な情報はプライベートクラウドに置くことで、セキュリティを高めています。 ここまで書くとカンの良い方は既にお気づきでしょう。 今回のサイバー攻撃では、プライベートクラウドへの大規模攻撃が行われたのです。 どんな攻撃が行われたのでしょうか?

4. プライベートクラウドへの攻撃

ニコニコ動画が使っているプライベートクラウドというのは、KADOKAWAグループ全体で使っているプライベートクラウドです。 今回の攻撃の結果、ニコニコ動画に限らず、KADOKAWAグループが提供している様々なサービスが止まっているのはそのためです。 ですが、ここで疑問が出てきます。 上述の通り、プライベートクラウドには外部からアクセスできないはずです。 それがカンタンにできるようでは、プライベートクラウドに機微な情報など置けるはずがありません。 現状(6/16現在)の公開情報ではこの疑問への回答は明かされていませんが、考えられるパターンは3点ほどあります。 一つはプライベートクラウドの設定ミスや脆弱性があった可能性です。 上述の通り、プライベートクラウドでは、第三者がアクセスできないようにIP制限などの技法を用います。ですが、この設定が間違っていたり、穴があったりするとプライベートクラウドにアクセスできてしまいます。 二つ目はKADOKAWAグループの関連会社などに侵入した上で、そこを踏み台としてプライベートクラウドに侵入してきたパターンです。社員向けのVPNに侵入した上でそれを踏み台にするパターンも考えられます。 三つ目はあまり考えたくありませんが、内部犯行によるものです。 筆者がいかにもありそうと思っているのは二つ目のパターンです。 このパターンは過去にも多くの企業がやられてきたパターンですし、全ての穴を塞ぐのはいかに優れた運用チームでも至難です。可能性としては一番高そうです。 さて、今回の攻撃は単にプライベートクラウドに攻撃を受けたという以上に深刻な点があります。

5. クラウド基盤への攻撃

クラウドサービスでは、任意のタイミングでサーバ(仮想マシン)を作ったり起動したりできます。 このサーバを作ったり起動したりするには、クラウドサービスの管理者権限が必要になります。 通常、各サーバには管理者権限を持ったユーザというものがあります。 WindowsであればAdministrator(まんま管理者の意味)ですし、LinuxなどのUNIX系OSではroot(根っこ。根幹の意味)という管理者ユ−ザがあります。 一般にサーバが乗っ取られた状態というのは、この管理者権限を奪われた状態を指します。 各サーバの管理者権限を奪われると、そのサーバでできることならなんでもできてしまいます。 ですから、非常にヤバい状態です。 とはいえ、他のサーバに重大な影響を与えることはほぼできません。 なぜなら、サーバの管理者権限はサーバ毎に個別に与えられているからです。 ところが、これよりもずっとはるかに深刻な被害を受けてしまう場合があります。 それはクラウドサービスの管理者権限を奪われた場合です。 クラウドサービスの管理者権限を奪われると、そのクラウドサービスが提供している全てが奪われたことと同義になります。 クラウドサービスの管理者権限はそのサービスを利用している組織に対して発行されます。 つまり、管理者権限を使えば、その組織がクラウド上で作ったり運営したりしている全てのサーバを好きなようにコントロールできます。具体的には、サーバを作る、サーバを消す、サーバを起動させる、サーバを停止させる、などです。 クラウドサービスの管理者権限が奪われるダメージは、単体サーバの場合と比較になりません。 そのクラウドサービス下の全サーバが危険にさらされるからです。 公式には言及されていませんが、今回の攻撃ではどうもクラウドサービスの管理者権限を奪われたようなのです。

6. ドワンゴの対応が素晴らしすぎる

この危機的な状況に対するKADOKAWAグループ、というかドワンゴ側の対応が神がかっています。 まず、一点目はプライベートクラウドの終わらせ方のすごさ。 攻撃を受けて数日でプライベートクラウドの管理者権限が奪われたことに気づくと、全ての関係サーバの電源をひっこぬいたそうです。(公開情報ではなく伝聞です) 特に電源を引っこ抜くというのは、一般的なサーバの取扱いでは「絶対すんな」と言われる極めて危険な行動です。 というのは、動作中のコンピュータの電源を落とすと何が起きるかわからないからです。 機器構成によっては、ハードウェアが壊れる可能性も十分にあります。 また、データを保管するハードディスクやSSDは、データを書き込むときに複数箇所(管理情報とデータ本体)に分けて書き込みを行うのですが、突然電源を落とされると、書き込み中でハンパな状態かもしれません。再起動がうまくいかないな不具合の原因となりかねません。 にも関わらず、この行動を取ったのはマルウェア(悪意のあるプログラムの総称。ウイルスはその代表格)の動作を熟知した上での行動だとのことです。 確かに、デキの良いマルウェアはシャットダウン手続きに入ったことを検出すると、自身を削除して痕跡を消す処理を行います。 また、先にLANケーブルを抜かないのも、LANケーブルが抜かれたことを検出すると、自身を削除して痕跡を消そうとするマルウェアへの対策によるものです。 さすがにいきなり電源を落とされると、マルウェア側も削除するタイミングがありませんから、痕跡が消えないという判断です。 ですが、あまりにリスクが高い話ですので、この判断を現場レベルで行うことができる組織はほとんどないと思います。 二点目は、再構築までに判断の速さ。 また、プライベートクラウドが浸食されたことから、全てのサーバを新たに構築するという判断をされたようです。当然ながら、再構築となるととてつもない時間と労力がかかります。 経営者としては、会社のダメージを少しでも抑えたいわけです。そのためにはす早いサービス復旧が必要ですが、再構築というのは真逆の判断です。 確かに、今回のようなクラウド基盤に浸食された場合は、すべてをぶっつぶす以外に有効な策はありません。 それでも、その結論に納得して指示を出した経営陣もこれまたすごい話だと思います。 もちろん、単に再構築しただけでは、今回と同じ被害を招く結果は見えています。 ですので、並行して進入路の検証とその対策も行っているようです。 三点目は情報開示の適切さ。 今回の記事はニコニコインフォ(公式情報)とX(これは多くの識者の意見を見るため)をベースに書いていますが、公式情報の凝縮された濃い報告には驚きます。 もちろん、現状で書けることなど限られていますから、量は少ないのですが、それでも今回の考察記事を書ける程度には情報を出している点はすごいことだと思います。 他にも、取り急ぎ手持ちのリソースで実現できる限定版ニコニコ動画を3日という超短期間で立ち上げてみたり、課金対象者への無償期間の報告も数日で決める、内部犯行の可能性も考慮してサーバ保管場所への社員の立ち入りを禁止するなど、そのスピード感は圧倒的です。 ネ申がかってる(神がかってる)という表現も決しておおげさではないと思います。

7. まとめ

2024年6月8日から、ニコニコ動画をはじめとするドワンゴのサービスが停止しています。 原因はサイバー攻撃によるものですが、攻撃側もかなりの技術を駆使している様子で、解説もどうしても難しいものが多いようです。 今回は、一般の方でもわかるように、ニコニコ動画の構成やクラウドサービスの種類といった点についての用語解説を中心にお話ししています。 現状では公開されている情報が限られているため、筆者の想像に過ぎない点もたくさんありますが、これが皆さんの理解の助けになればとても嬉しいです。 本件については、ドワンゴ側から詳細なインシデント報告書が出てきましたら、改めて解説をしたいと思います。 次回もお楽しみに。

前号: No 359 / 次号: No 361 / 一覧(note.com)へ / ブログページに戻る