検証実験の期間中,防御チーム(データセンターの運用担当者)はどんなことを考え,何をしていたか。日記風に報告する。
5月25日金曜日 ─最終打ち合わせ─
今回の検証実験の主要な関係者が集まり,実行計画を確認した。攻撃の実施は,6月12日から15日までの4日間。攻撃対象は,防御チーム3社とも,実際に運用している基幹サービス・システムだ。ライブドアの例を挙げると,「livedoor Blog」で利用しているサーバー一式である。これは,Webフロントエンド,モバイル・フロントエンド,バックエンド・データベースなどのシステムで構成されており,1Uサーバー約600台の規模だ。8~10人の運用スタッフによって,24時間365日の運用体制を敷いている(写真1)。
写真1●ライブドア データセンター事業部門の運用部隊 |
このサーバー群のなかから,攻撃チームが対象を絞りピンポイントで攻撃する。ただし事業に支障を来さないよう,内部への侵入やデータの抜き出しまでは行わない“寸止め攻撃”にとどめる。
攻撃は現場の運用スタッフに対して抜き打ちで行うため,一部のマネージャを除いて,検証実験の存在そのものについて箝(かん)口令を敷いた。関係者の間では,検証実験を「ヤシマ作戦」という暗号名で呼ぶことになった。
6月11日月曜日 ─攻撃前日─
いよいよ明日,攻撃が始まる。防御チーム3社は,いつ攻撃を仕掛けられるか分からない。検証実験の公平性を保つため,攻撃の内容や詳細なスケジュールは,ライブドアの現場スタッフはおろか,責任者である私にも知らせないルールにした。果たしてどのような結果になるのか。期待と不安が入り交じる。
6月12日火曜日 ─攻撃初日─
今日から攻撃が始まるというのに,展示会出展の準備のため,千葉・幕張に終日出向くことになった。攻撃の成り行きが気になり,設営や打ち合わせの合間をみて何度もメールをチェックする。しかし,現場から攻撃を受けたという異常を知らせる報告が一向に上がってこない。「何も気付いていないのか。いや, 今日は, 当社に対して攻撃がなかったのかもしれない」。いろんな考えが頭を駆けめぐる。「何か変わったことはなかった?」と現場に電話を入れたくなったが, 検証実験を行っていることが現場スタッフにバレかねないのでグッと我慢した。
6月13日水曜日 ─ 攻撃2日目─
東京・新宿のオフィスにいる。今日こそは「外部から攻撃を受けているようです」という報告が現場スタッフから上がってくると心待ちにしているが, その気配もない。現場は平穏そのものである。痺(しび)れを切らし,現場スタッフのリーダーにそれとなく変わったことがないか聞いてみるが,「別に変わりないですよ」とつれない返事。攻撃チームは, よほど巧妙な手口でサーバーにアクセスしているのだろう。
6月14日木曜日 ─ 攻撃3日目─
幕張の展示会で, 同じ防御チームのさくらインターネットの責任者と出くわす。いまだに現場から報告が来ないことを私から打ち明けると,「こちらも現場から何も報告がないんですよ。本当は, ヤシマ作戦は来週からではないですか? 」とのこと。どうやら, 攻撃に気付けていないのは, ライブドアだけでないらしい。
6月15日金曜日 ─ 攻撃最終日─
今日も幕張の展示会場にいる。ヤシマ作戦も, はや最終日だというのに,相変わらず現場スタッフから「攻撃を受けた」という報告はない。「一体どうなっているのか」といぶかしがっていると, ばったり会った同じ防御チームのソフィア総合研究所の責任者から「本当に攻撃してきてるんでしょうかね? 」と話しかけられた。
昨日の時点では, さくらインターネットも気付いていなかったから, 防御チームは3社とも現場スタッフが攻撃を捕捉していないことになる。攻撃については攻撃チームに一切を任せるルールにしたので,「本当に攻撃していますか?」などと問い合わせることもできない。そして現場からの報告が何もないまま,とうとう作戦期間が終了してしまった。
6月21日木曜日 ─結果報告─
検証実験の主要な関係者が再び集まり,攻撃チームから結果報告書が配られた。その結果を見て,防御チームはしばらく凍りついたように押し黙った。「本当に攻撃しているのか?」と疑ったこと自体が,自社の問題を露呈していた。そのとき初めて知ったのだが,攻撃チームは防御チームのサーバーに対して4日間にわたりひっきりなしに,攻撃を行っていた。にもかかわらず,現場スタッフは何一つ捕捉できなかったのだ。せめて,ログ・ファイルに形跡が残る「ポート・スキャン」という攻撃には気付く必要があるだろう。しかもわずかとはいえ,現場スタッフが見落としていた危険度の高いセキュリティ脆弱性が判明した。もし攻撃が現実のもので,現場スタッフが気付くことすらなく突破されていたら…。対策は急務である。
|