2024年6月8日に「ニコニコ」関連のサービスで発生したインシデントに注目が集まっています。現時点では「正確な復旧時期は被害状況の調査結果次第となりますが、1カ月以上かかる見込みで、再開できるサービスから順次再開していく予定」とあるように、大変な状況にあることが分かります。
報告では、このサービス停止の原因について「ランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になりました」と述べられており、日本においてもここまでの被害が発生することに、何ともいえない気持ちになります。
同インシデントは親会社であるKADOKAWAの株価低下も招いており、想定以上の被害が生まれています。まずは復旧に向けて動いている担当者を応援するとともに、対応が完了した後に事故対応レポートが公開され、それが多くの企業の役に立つことを期待したいと思います。
●12分の動画で明らかになったニコニコの“重すぎる被害状況”
今回のインシデントで筆者が個人的に驚いているのは、サービス復旧に月単位の時間がかかると発表されているにもかかわらず、SNSでは利用者から不満の声よりも応援のメッセージが多く投稿されているという点です。B2Cのサービスだからこそともいえますが、それでもこの状況は他のインシデントとは大きく異なる反応でしょう。
それもそのはず、やはり「ニコニコ動画」はサービスとしてだけでなく、中の人の誠実さがその人気を支えていることが、今回のインシデント対応を通じてにじみ出てきています。これはぜひ、ニコニコ動画を使ったことのない方にもチェックしてほしいと思い、インシデント対応の最中ではありますが、今回のコラムでも取り上げたいと思います。
まず皆さんに見てほしいのは、以下の12分間の動画です。ニコニコ代表、ドワンゴ取締役COO(最高執行責任者)の栗田穣崇氏、そしてニコニコサービス本部CTO(最高技術責任者)の鈴木圭一氏が直接語る動画、「ニコニコのサービス停止に関するお詫びと今後について」では、現状が率直に語られるだけでなく、インシデント対応における広報の重要性が詰まったものでした。
この中で鈴木氏は、自身の言葉でこう伝えています。
冗長構成とかバックアップというのは当然用意していましたし、セキュリティ対策というのもさまざまに実施してはいたのですが、データセンター内のサーバが全て使えなくなってしまうという想定を超えるレベルの状態になってしまったために復旧に非常に時間がかかる事態となっております。
皆さまにご迷惑をおかけしていることをCTOとして深くお詫び申し上げます。
この報告から、セキュリティ対策をしっかりと講じていたニコニコ動画であっても、その隙を突いて攻撃が仕掛けられる、という現在のサイバー空間の治安の悪さ、攻撃の先鋭化が見て取れます。また、サーバの過半数が落とされてしまうレベルの攻撃すら想定しなければならないということも読み取れるでしょう。
最近ではインフラ構築も最新技術を使い、コマンド一つで実行できるようになってはいますが、実運用でここまでの攻撃を想定するケースは多くないはずです。今回の事件を通じ「バックアップの取得」が、実際には対策にはなっていないかもしれないと気が付けるかどうかが重要な分岐点になるのではないでしょうか。
さらに報告ではこのようなコメントがあります。
例えば初日のうちにこちらからサーバを遠隔でシャットダウンしたのですけど攻撃者がさらに遠隔からサーバを起動させようとか感染拡大をさせようとしてきました。
そのためエンジニアは直接データセンターに入ってサーバの電源ケーブルや通信ケーブルを物理的に引き抜いて封鎖しているという状態です。
被害範囲の確認にも時間がかかってしまっております。
これも大変重い現実が述べられています。攻撃者は既にシステムを掌握しており、遠隔での操作も実行できるという状況の下、復旧を継続するのは大変困難です。ここまでのことが重要インフラではなく“普通のサービスで”実行されることは恐ろしいことです。
だからといって「クラウド利用を止めよう」ですとか「新技術は怖い」ということにはつながることはないはずですが、新たな仕組みには新たな脅威があり、新たな仕組みの防御を考えねばならないこと。それをもってしても想定以上の脅威が来るかもしれないことを想定しなければならないという、まさに「言うは易く行うは難し」の現状が目の前にあることが分かります。
●動画から学べるインシデント発生時の“適切な広報対応”
今回の動画はたった12分30秒ですが、この中には大事なポイントが詰め込まれています。特に、利用者に向けて「少しでも状況が知りたいというお気持ちはよく分かります」と述べつつ、今後のロードマップを、現状に合わせ、誠実にできること、できないこと、無事なところ、無事ではなかったところをしっかりと説明している姿は、事故対応の鏡とも言うべき内容でした。
サイバー攻撃が現在進行形で実行されている状況において、COOやCTOが企業の広報機能を一手に引き受け、情報の発信を一元化している点も非常に興味深いです。逆に、広報以外からの情報は、今の時点では正確ではない可能性があると考えておくことも、私たちには必要かもしれません。まずは、公式の情報を基に判断することを推奨します。
また、FAQのページは突貫で作ったとは思えないほどしっかり作られており、一般的な疑問は大体ここで解消されてしまいます。この他、エンジニアが3日で作ったという仮サービスも大人気で、本インシデントの直接の対応だけでなく、「ブランドイメージを落とさない」ための対応が、他に見たことのないものとなっているのも非常に印象的です。さすがにこれをマネできる企業は、日本にそう多くはないように思えます。
●私たちにできることは「訓練」しかない
2023年12月に開催されたアイティメディアの主催イベント「ITmedia Security Week 2023冬」で情報処理推進機構(IPA)の青山友美氏(産業サイバーセキュリティセンター 専門委員)氏が登壇し、「ランサムウェア対応時のリスクコミュニケーションと机上演習を利用したインシデントへの備え」と題してノルウェーに本社を置くアルミニウム生産企業ノルスク・ハイドロにおけるランサムウェア被害事例を紹介しました。
青山氏は講演の中で、ランサムウェアによってシステムが全面的に止まった状況において、対外コミュニケーションを担当する広報機能の重要性を述べています。
サイバー脅威が想像を超える被害を生む状況においては、定型的な対応もさることながら、マニュアル化しにくい部分も含めた対応も求められます。そのためにできることは少ないのですが、やはり訓練が重要なのではないかと思います。
事前に一度でも破滅的な状況に触れていれば、何が足りないのかがおぼろげに見えてくるでしょう。まさかシステムが全部破壊されるという前提を、こんなに現実的に考えなければならない状況になるとは筆者も思っていませんでしたが、ニコニコ動画の事象をジブンゴトとして捉え、自分ならいま何ができるかを想定することから、はじめの一歩を踏み出すしかないと思っています。一日も早い復旧を心から願っています。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。