2020年2月に発生した大手Webサイトの大規模障害について解説、Uptime.com：「Microsoft Teams」「GitHub」「Google Nest」などの事例を分析

Uptime.comは、企業Webサイトなどで2020年2月に発生した大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。「Microsoft Teams」「GitHub」「Google Nest」などの事例を扱っている。

[＠IT]

　Webサイトのアップタイムやパフォーマンスを向上させるソリューションを提供するUptime.comは2020年3月19日（米国時間）、2020年2月に発生した企業Webサイトの大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。

　同レポートでは、「Microsoft Teams」の一時停止、米国の投票者登録サイトへのDDoS攻撃、「GitHub」のダウン、スマートホームサービスの障害などを取り上げている。

「Microsoft Teams」がダウン、SSL証明書の更新漏れで

　Microsoftのクラウド型チャットツール「Microsoft Teams」が2020年2月3日（米国時間、以下同じ）、3時間程度ダウンした。担当チームがSSL証明書を更新しなかったためだ。

　Microsoftは極めて大きな組織であり、誰かが証明書を取得したものの、文書化し忘れた可能性が容易に想像できる。また、このインシデントは、誰もが証明書の更新漏れの心配とは無縁でいられないことを示している。

証明書の更新漏れを避けるには

　Microsoft Teamsのインシデントが示しているように、SSL/TSL証明書の更新漏れは重大な問題を引き起こす。ほとんどのブラウザは、無効な証明書を使っているサイトやサービスへのアクセスをブロックする。このため、企業が使ってきた証明書が期限切れになると、顧客からすると「企業サイトはダウンしている」のと同じ状態だ。

　クラウドネイティブとDevOpsのコンサル企業Bitfield Consultingでインフラエキスパート兼コンサルタントを務めるジョン・アランデル氏は、こうした事態を避けるための対策として、以下の3つを挙げている。

・証明書の更新を自動化

　手動の作業は見落としがちであり、遠い将来の作業であればなおさらだ。「Let'sEncrypt」など、自動化をサポートする証明書プロバイダーを利用すれば、手動作業は基本的に不要になるという。証明書をプロビジョニングしたら、更新が必要になった時点で直ちに自動更新を行うようLet'sEncryptクライアントを設定できる。

・リマインダーを自動化

　証明書の更新を自動化できない場合でも、少なくともリマインダーを自動化することはできる。仕事で使っているプロジェクト管理システムやタスク追跡システムで、目的のタイミングで更新のリマインダーやチケットが発行されるようにすればよい。

・モニタリングを自動化

　SSL/TSL証明書の更新プロセスが手動か自動かにかかわらず、補完策としてモニタリングが必要になる。証明書が更新可能になったら、すぐにアラートを送るようモニタリングシステムを設定すればよい。自動更新サービスを利用している場合は、更新日の翌日にアラートを送るよう設定すれば、証明書の自動更新を妨げる問題が発生した場合でも、期限に間に合うように対処できるタイミングで把握できる。

モニタリングを自動化（出典：Uptime.com）

ナイジェリアの銀行がサイバー攻撃対策に年間2000億ナイラを支出

　ナイジェリアコンピュータソサエティ（NCS）が2月、ナイジェリアの銀行が2019年に各種のサイバー攻撃の防止対策に総額約2000億ナイラの費用を投じたと報告した（日本時間2020年3月27日時点で、1ナイラは0.30円）。

　ナイジェリアの銀行を狙ったサイバー攻撃の主要な手口は、DDoSとソーシャルエンジニアリングだ。2019年のサイバー攻撃対策費用が多額になったのは、同年の全体的なダウンタイムの状況を反映しているという。

米国の投票者登録サイトにDDoS攻撃

　FBI（米国連邦捜査局）は2020年2月3日、州レベルの投票者登録および投票者向け情報サイトに対し、「疑似ランダムサブドメイン攻撃」が仕掛けられた可能性があると警告した。DDoS（分散サービス妨害）攻撃の一種であるこの攻撃は、攻撃対象のドメインのサブドメイン部分にランダムな文字列を付加したDNSクエリ（存在しないサブドメインへのDNSクエリ）を使用するもので、攻撃元が分かりにくい（参考）。

　標的となったサーバは帯域制限アルゴリズムを使用しており、それがトラフィックのフィルタリングと攻撃の緩和に役立った。FBIは企業に、DDoS攻撃を軽減する戦略を評価し、その結果を踏まえて強化することを勧めている。

DDoS攻撃からサイトを保護するには

　こうした攻撃からサイトを保護する最良の方法は、CloudflareやAkamai Technologiesなどが提供するDDoS攻撃軽減サービスを利用することだ。このサービスはDDoS攻撃を検知し、偽トラフィックをブロックして、ユーザーへのサービス提供を継続するのに役立つ。

　しかし、DDoS攻撃軽減サービスも完璧ではないため、自社のサーバを自らモニタリングし、攻撃の発生時に対処する準備を整える必要がある。サイトが重くなったり、応答しなくなったりし、大量のトラフィックが送信されている疑いがある場合、DDoS攻撃が発生している可能性がある。その場合、利用しているインターネットサービスプロバイダーに連絡して協力を得て、現状把握と対処を行う。

　DDoS攻撃の中で特に“たち”の悪いのが、標的のWebサイト自体ではなく、そのドメインを担当するDNSサーバを攻撃するものだ。DNSサーバに過負荷を掛けるこうしたDDoS攻撃により、標的とされた企業のサーバは、トラフィックが低下してゼロになってしまう。当該のDNSサーバが使用不能となり、標的とされた企業の顧客は企業サイトのアドレスの名前解決ができないため、これらのサイトにアクセスできないからだ。

DDoS攻撃（出典：Cloudflare）

　ほとんどの企業は独自のDNSサーバを運用しないため、こうしたDNSサーバに対するDDoS攻撃への対策に関しては、DNSプロバイダーに確認するとよい。

GitHubが2時間ダウン

　ソフトウェア開発プロジェクト共有サービスの「GitHub」が2020年2月28日にダウンし、企業のDevOps担当者は最長2時間の計画外の休憩を取ることになった。

　GitHubはTwitterで迅速に状況説明を行った。2020年2月28日午前2時20分付けのツイートで、GitHubのナット・フリードマンCEOはダウンタイムの発生を謝罪し、信頼性を重んじる姿勢を表明。「根本原因分析（RCA）を近いうちに公開する」と述べた。さらに、GitHubはステータスページで状況を逐次報告し、ユーザーへの的確なコミュニケーションを行った。

　こうしたダウンタイム発生時には、過大な約束をする必要はなく、改善を約束し、インシデントを調査し、結果を報告することが基本だ。

IoTアプリケーションがダウン

　2020年2月にGoogleのスマートホームサービス「Nest」が17時間ダウンし、自動給餌器を使ったPetNetのペットサービスが丸1週間停止した。

　Googleによると、Nestがダウンした原因は、予定していたストレージサーバソフトウェアの更新が計画通りに進まなかったことだ。GoogleはNestユーザーに5ドルの払い戻しを行った。

　インターネットに接続されたPetNetの自動給餌器は、2月13日から1週間停止したままになった。PetNetのサービスは2020年1月11日、2019年6月にも停止しており、2018年10月にも、接続と未給餌の問題で顧客から苦情が出ていた。

　こうした相次ぐ障害を受け、あるブロガーは、「スマートホームデバイスは、クラウドサービスの停止時にローカルにフェイルオーバーする仕組みを導入すべきだ」と指摘している。