Uptime.comは、企業Webサイトなどで2020年2月に発生した大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。「Microsoft Teams」「GitHub」「Google Nest」などの事例を扱っている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Webサイトのアップタイムやパフォーマンスを向上させるソリューションを提供するUptime.comは2020年3月19日(米国時間)、2020年2月に発生した企業Webサイトの大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。
同レポートでは、「Microsoft Teams」の一時停止、米国の投票者登録サイトへのDDoS攻撃、「GitHub」のダウン、スマートホームサービスの障害などを取り上げている。
Microsoftのクラウド型チャットツール「Microsoft Teams」が2020年2月3日(米国時間、以下同じ)、3時間程度ダウンした。担当チームがSSL証明書を更新しなかったためだ。
Microsoftは極めて大きな組織であり、誰かが証明書を取得したものの、文書化し忘れた可能性が容易に想像できる。また、このインシデントは、誰もが証明書の更新漏れの心配とは無縁でいられないことを示している。
Microsoft Teamsのインシデントが示しているように、SSL/TSL証明書の更新漏れは重大な問題を引き起こす。ほとんどのブラウザは、無効な証明書を使っているサイトやサービスへのアクセスをブロックする。このため、企業が使ってきた証明書が期限切れになると、顧客からすると「企業サイトはダウンしている」のと同じ状態だ。
クラウドネイティブとDevOpsのコンサル企業Bitfield Consultingでインフラエキスパート兼コンサルタントを務めるジョン・アランデル氏は、こうした事態を避けるための対策として、以下の3つを挙げている。
・証明書の更新を自動化
手動の作業は見落としがちであり、遠い将来の作業であればなおさらだ。「Let'sEncrypt」など、自動化をサポートする証明書プロバイダーを利用すれば、手動作業は基本的に不要になるという。証明書をプロビジョニングしたら、更新が必要になった時点で直ちに自動更新を行うようLet'sEncryptクライアントを設定できる。
・リマインダーを自動化
証明書の更新を自動化できない場合でも、少なくともリマインダーを自動化することはできる。仕事で使っているプロジェクト管理システムやタスク追跡システムで、目的のタイミングで更新のリマインダーやチケットが発行されるようにすればよい。
・モニタリングを自動化
SSL/TSL証明書の更新プロセスが手動か自動かにかかわらず、補完策としてモニタリングが必要になる。証明書が更新可能になったら、すぐにアラートを送るようモニタリングシステムを設定すればよい。自動更新サービスを利用している場合は、更新日の翌日にアラートを送るよう設定すれば、証明書の自動更新を妨げる問題が発生した場合でも、期限に間に合うように対処できるタイミングで把握できる。
ナイジェリアコンピュータソサエティ(NCS)が2月、ナイジェリアの銀行が2019年に各種のサイバー攻撃の防止対策に総額約2000億ナイラの費用を投じたと報告した(日本時間2020年3月27日時点で、1ナイラは0.30円)。
ナイジェリアの銀行を狙ったサイバー攻撃の主要な手口は、DDoSとソーシャルエンジニアリングだ。2019年のサイバー攻撃対策費用が多額になったのは、同年の全体的なダウンタイムの状況を反映しているという。
FBI(米国連邦捜査局)は2020年2月3日、州レベルの投票者登録および投票者向け情報サイトに対し、「疑似ランダムサブドメイン攻撃」が仕掛けられた可能性があると警告した。DDoS(分散サービス妨害)攻撃の一種であるこの攻撃は、攻撃対象のドメインのサブドメイン部分にランダムな文字列を付加したDNSクエリ(存在しないサブドメインへのDNSクエリ)を使用するもので、攻撃元が分かりにくい(参考)。
標的となったサーバは帯域制限アルゴリズムを使用しており、それがトラフィックのフィルタリングと攻撃の緩和に役立った。FBIは企業に、DDoS攻撃を軽減する戦略を評価し、その結果を踏まえて強化することを勧めている。
Copyright © ITmedia, Inc. All Rights Reserved.