SCEに続いてSOEもハッキングを受け、結果としてサーバに侵入されて個人情報や
クレジットカード情報などが情報流出したようです。
まずは中の人、お疲れ様です。
いやあ・・・ひとごとではないですね。私のお客さんでもやられたことは何度かあります。
今回はハッキングってのはそういう意味じゃ・・・っていう文言の話はおいといて、
こういう場合、中の人は大体こんなことしてます、って部分を書いてみます。
通常、サーバに侵入された形跡を発見した場合、
LANケーブル引っこ抜いてHDDを持ち帰って解析します。
並行してサービスの復旧に向けて再構築するわけですが、
(侵入された疑いの有るサーバ機器を使いまわすのはありえない)
解析/調査によってどこまでが再構築の範囲になるかで復旧時間が変わってきます。
ネットゲーの場合は、
課金系Web/DBや管理サーバ群だけ・・・復旧まで1週間程度 ←たぶん今回はこれ
ゲームサーバ(=Web/AP)含む・・・2週間程度~1ヶ月程度
ゲームデータの入ったDBまで・・・1ヶ月程度+バックアップまで大幅巻き戻り
ってなところでしょうか。(まあ場合によるので適当です・・・)
ネットゲなお客さんは結構こういったダウンに寛大?!なので
そこそこ早く復旧するんではないかなとは思いますが、
現状は多分、「検知した攻撃で何をされたか」は大体把握できて再構築してるけど、
「他に何かされてないか」「本当に他は大丈夫か」の調査がまだ続いてることでしょう。
これが時間掛かる+これが解らないのでいついつ復旧する!とはまだ言えない、
という状況かと思います。
ちなみに攻撃とか食らった場合の一番最悪なケースはデータロストです。
今回は情報漏れただけっぽいからWebかアプリを動かしてたプロセスのUIDで
シェル取られたかSQLでも叩かれたのかと思われます。
うわさによると既知の脆弱性でやられたってことなので、
バージョンが古いミドルウェア(ApacheだのPHPだのTomcatだの)をそのまま使ってたんだと思います。
脆弱性検査とまめなバージョンアップを怠らないようにしましょう。
場合によってはお金掛かるけどね・・・。
最後にこういった場合の対策/対応は基本的にまあ地味なんですが、
無料でできることをピックアップしてみました。
○脆弱性の情報にアンテナを張る。
最低限、アプリ作ったりする人はJP-CERTなどのMLには入っておくようにしましょう。
脆弱性情報を無料で送ってくれます。
http://www.jpcert.or.jp/announce.html
○たまには脆弱性診断を行う。
Nessusとか無料の脆弱性診断ツールもある。
http://www.nessus.org/products/nessus/nessus-download-agreement
○侵入されたら何をされたのか調査。
Web経由の場合、ilogscanner にApacheのアクセスログ突っ込むとまあ大抵どうやって入ってきたのか解ります・・・
http://www.ipa.go.jp/security/vuln/iLogScanner/index.html
それにもまして、侵入されたらまずネットワークから切り離すことが重要です。
ほかに迷惑かけちゃうからね。
侵入されたサーバがウイルスをダウンロードするための親サイトになってしまったり、
全然よそ様のサーバにブルートフォースアタックを仕掛けたりとか、SPAMばんばん送ったりとか。
というかそれが目的で脆弱なサーバを探査/攻撃してくることも普通にあります。
そうなると、お客さんのIPアドレスがブラックリストにも載っちゃいます。
自己防衛のためにも二次被害を防ぐために侵入されたらLANケーブル引っこ抜く、は覚えておいてください。
0 件のコメント:
コメントを投稿