第四話 攻撃
スワンがただならぬ事態を察知したのは、インシデントが発生してから数十分後に開かれた緊急会議のときだった。
小部屋で雑誌のインタビューに答えていると、スマホを持った秘書テオドラが血相を変えて飛び込んできた。
「申し訳ございませんが、インタビューは中止していただけないでしょうか。重大なインシデントが発生しました。緊急会議が開かれます。役員とCSIRTの方は既に会議室におります」
テオドラは常に冷静で、落ち着きのある女性だった。そんなテオドラのかつてない取り乱しように、スワンは嫌な予感を抱いた。
「重大、ねえ」
テオドラとスワンは急いで会議室に向かった。二人以外のメンバーは既に会議室にいた。
小太りの男がホワイトボードの近くに立ち、レジュメを確認している。
彼は企業に設置される情報セキュリティについての組織、CSIRTのメンバーである。
CSIRTはセキュリティ事故が発生すると駆り出されるチームだ。
(一体何が起こったんだ……)
スワンは訝しがりながら、空いている席に座った。その真後ろに秘書が立つ。
会議室の席が全て埋まったのを確認すると、小太りの男が汗を拭きながら立ち上がった。
「えー、お忙しい中集まっていただき誠にありがとうございます。早速ですが、お集まりいただいたのは、現在我が社が何者かにサイバー攻撃を受けているためでございます。複数の攻撃を受けたため、時系列順に話させていただきます」
株式会社スワンがサイバー攻撃を受けるのは度々起こることだった。有名企業は自己顕示欲を満たしたいクラッカーの標的になりやすい。
(サイバー攻撃を受けるのはいつものことだが、こんな仰々しい会議まで開くということは、何か取り返しのつかないことでも起こったのか……?)
「順を追って説明します。本日午前8時13分、我が社のホームページのサーバがダウン。DDoS攻撃を受けたと判断し、CSIRTが対応に当たりました。攻撃に使われたIPアドレスは5000万にのぼると見られております」
DoS攻撃というものがある。サイトに短時間で大量にアクセスする攻撃で、これを受けるとサーバは負荷に耐えられずダウンする。
例えばDoS攻撃の一つ、F5アタックという攻撃では、パソコンのF5キーを連打して、サーバ側にWebサイトのリロードを何回も要求する。そうするとサーバに負荷がかかり、結果システムがダウンする。
DoS攻撃は厄介なサイバー攻撃であるが、防ぐのは難しい話ではない。同一IPからのアクセス回数を制限してしまえば済む話だ。
DDoS攻撃は、そんなDoS攻撃を進化させた攻撃である。複数のIPアドレスから一斉にDoS攻撃を行うことで、IPのブロックやアクセス回数制限だけでは対処できなくなっている。
(こりゃまた随分と手の込んだことを……)
スワンは他人事のように思った。
「現在もSYNフラッド攻撃、FINフラッド攻撃、ACKフラッド攻撃が絶えず確認されています。復旧の目処は依然として立っておりません」
サーバへのアクセスは、具体的に以下の手順を辿る。
まずクライアント側がSYNパケットを送信する。受け取ったサーバ側はSYN/ACKパケットを返す。それにクライアント側がACKパケットで応答、接続が成立する。この手順を3ウェイハンドシェイクと言う。
接続を切断する際も同様に、クライアント側からFINパケットを送り、サーバ側がACKパケットとFINパケットを返す。それにクライアント側がACKパケットで応答、切断が成立する。
接続と切断は、クライアントとサーバの間でのパケットのやり取りで行われる。このやり取りで偽のパケットを返したり、大量のパケットを返したりするのがDDoS攻撃だ。
「えーっと、それからですね……」
小太りの男はレジュメのページをめくった。
「続いて午前8時17分、お問い合わせ用のメールアドレスが大量のスパムメールを受信。所謂メールボムです」
メールボムとは、同じ宛先に大量の電子メールを送ることだ。DoS攻撃同様、サーバに負荷をかけることを目的としている。
「スパムメールは自動で削除したりブロックしたり設定でできないのかい?」
役員の一人が話を遮った。小太りの男は嫌な顔一つせずに質問に答える。
「確かにメールソフトによっては自動的にスパムメールを排除してくれるものもあります。ただ、我が社が業務で使用してるソフトにはそのような機能はありません。また、以前社員が外国人から送られた通常のメールをスパムメールと判断して対応をしなかったことが重篤なクレームに繋がったことがございまして、カスタマーサービス部では基本的に全てのメールに対応する方針となっているようでした」
「融通が利かんなぁ」
小太りの男は眉の間を掻くと、説明を続けた。
「メールボムによって、カスタマーサービス部の効率は著しく低下しました」
株式会社スワンはユーザーからの問い合わせを電話、メール、問い合わせフォームの三つの方法で受け付けている。問い合わせはカスタマーサービス部という部署で対応される。
「メールで回答が貰えないユーザーは、電話や問い合わせフォームでクレームを入れます。現在問い合わせ手段は全てパンクしております。先程申し上げたDDoS攻撃と合わせて、我が社を狙い撃ちしたものと考えられます」
(確かにインシデントではあるが、サーバがダウンしただけじゃないか。後でホームページにお詫びの文章でも載せておけばいい)
スワンはテーブルの上にあるボールペンでペン回しを始めた。
小太りの男は続ける。
「更に午前8時20分、お問い合わせフォームがSQLインジェクションを検知」
スワンのペン回しをする手が止まった。
SQLインジェクション。入力フォームに対して攻撃者がデータベース言語を入力し、不正に情報にアクセスする攻撃だ。
(うちの会社の情報を窃取するのが目的か?)
「SQLインジェクションに関しては、プレースホルダで実装していたのとエスケープ処理を導入していましたので、被害はありませんでした」
「問題ないんだな?」
役員が再び小太りの男に尋ねた。男は激しく頷いた。
「SQLインジェクションに関しては、ですが」
小太りの男の発言を聞いて、役員達はひとまず胸を撫で下ろした。サーバのダウンと個人情報流出だとインシデントの重大さが段違いだ。
スワンは持ち込んだペットボトルの水を飲んだ。
「最後に午前9時30分、カスタマーサービス所属の社員がメールのURLを開いてしまい、ドライブバイダウンロードからマルウェア感染。顧客の個人情報が10万件流出。ここまでが我が社の受けたサイバー攻撃です」
「ブーッ!!」
スワンは水を噴き出した。
「流出したのか!? 個人情報が!」
「は……はい」
「なぜそれを最初に言わない!?」
「申し訳ございません! 時系列順に話しますと最後に……」
スワンは頭を抱えた。
小太りの男は申し訳なさそうに、続ける。
「標的型攻撃と見られるメールで、巧妙に取引先を装ったものでした」
「……個人情報流出にCSIRTはどう対応した?」
「はい。マルウェア感染したPCに関しては、ネットワークを遮断し、該当PCを初期化しました」
「……個人情報というのは、具体的になんだ」
「メールアドレスです」
スワンの質問責めに、男は正確に答えた。
(クレジットカード番号じゃないのは不幸中の幸いか)
スワンは無理矢理気持ちを落ち着かせた。
「サーバが復旧し次第、パスワードリスト攻撃を見越してユーザにパスワードを変更するように案内するつもりです。警察に協力を仰ぎましたが、現状犯人の特定にはまだ至っておりません」
スワンはひらひらと手を振った。
「それはいい。犯人についてはちょっと心当たりがある」
会議に参加している役人達がスワンを不思議そうに見た。小太りの男も驚きの表情を浮かべている。
「え、そうなんですか?」
株式会社スワンは、アンドロイドの発売を主な事業としている会社だった。アンドロイドの主な使い道は掃除や料理などの家事だが、愛玩用としての人気も絶大だ。
ユーザーがどんなアンドロイドを好み、彼女達にどんなリクエストをしているのかはデータとなって会社に送られる。スワンはそのデータを利用して、盗撮犯から買い取った画像を、それが好きそうなユーザーに売りつけていたのだ。
数日前、スワンはある男から連絡を受けた。盗撮をしているところを現行犯で捕まったとのことだ。いつものように揉み消してやろうと思ったが、そう簡単にはいかないらしい。
男曰く、自分を捕まえたのは勇者とガーディアンだと言うのだ。魔王討伐を目標に掲げている、あの二人だ。
(脱獄スマホでちょっかいは出したが、こんなに早く辿り着くとは思わなかったな。さぞ優秀なガーディアンがついてるんだろう。少々予想してた形とは違うが、俺の仕事は勇者に魔王の邪魔をさせないこと。できれば会社にあまり不利益を出さずに。それさえ達成できれば細かい計画の違いはどうでもいい。さて……)
「あの、一応個人情報が流出したので、ステークホルダーへの説明と、記者会見をする必要があります」
小太りの男は言いにくそうに告げた。
(記者会見……なるほど、勇者の狙いが読めたぞ。普通に会社を訪ねても俺に会えないから、記者会見の場に引き摺り出そうってわけだ)
スワンは立ち上がった。
「分かった。俺が喋ろう」
(かかってこい勇者。脱獄王を舐めるなよ)
