「さくらの平和は私たちが守る!」さくらインターネットのサイバーセキュリティ担当にインタビュー

皆さん、「サイバーセキュリティ」と言うとどのようなイメージをお持ちでしょうか?
一般的には外部、つまりインターネット側から攻撃された場合の対策をイメージされると思います。
ただ、さくらインターネットはサーバーサービスを提供している側であるため、自社のサービスを犯罪者に利用されてしまう立場となります。
例えば、セキュリティ管理の甘い正規利用者のサーバーが、不正アクセスや迷惑メール配信用の踏み台にされたり、また犯罪者自身がサーバーを契約し、迷惑メールから誘導する詐欺サイトや偽サイトを構築したりすることがあり、その対応を求められる場合があります。
そういった意味でサイバーセキュリティに対して一般の方とは少し事情が異なってくると言えます。

そこで今回は、一般にはあまり知られていない、さくらのサイバーセキュリティ事情について、サーバーの「不正利用対策」という観点から、サービスソリューションチームのリーダーである山下健一さんと、アビューズチームの嶋崎紀代美さんにお話しをうかがいましたのでご紹介します。

――まずは、お二人の経歴について教えてください。

山下:私は静岡で生まれまして、大学進学で大阪に行きました。大学は芸術学科で、映像やアドベンチャーゲームなどを制作していました。当時はインターネットが普及し始めたころで、当然、YouTubeなどもありません。そこで自分たちでサーバーを立てて作品を公開していました。ですから、プログラマーというよりはサーバーエンジニアでしたね。

そして、ある時、何かの要件でさくらインターネットにお伺いする機会があり、結局、それが縁となり、大学在学中から潜り込むことになりました。最初はデータセンターで24時間のシフト勤務で障害対応をして、そのあと監督する立場になり、さらにクラウドの時代になりVPSの担当になりました。現在もVPSの運用面で仕事をしています。入社して11年目ですね。プライベートでは最近結婚しまして、休みの日は美術館に行ったり、演劇を観に行ったりしています。

嶋崎:
私は大阪出身で、いくつかの会社を経て派遣会社に入りました。そこで派遣先から正社員のお誘いをいただき、直前に1件断っていたこともあって、面談だけのつもりで来たのが、さくらインターネットでした。受かるとは思っていなかったのですが、「すぐに来てください」と言われ、そこまで言ってもらえるならということで入社しました。いま8年目です。

さくらインターネットに入社する直前は、PC関連のコールセンターにいました。もともと派遣社員としてカスタマーセンターで電話を取る作業を長らく経験していました。さくらインターネットでもカスタマーセンターに入り、そこから調査なども並行して行う流れになり、そのあとアビューズという、第三者からの依頼に対応する部署へ異動になりました。

今回インタビューをさせていただいた、嶋崎さん(左)と、山下さん(右)

――普段の業務はどのような内容でしょうか?

山下:仕事の3割強が不正利用関係の対応や調査、残りの7割弱が主業務のVPSの運用をしています。出社したら、まず夜間の障害対応の記録を追跡します。常時稼働しているサーバーやその構成機器、ソフトウェアなどは、たまに不具合が発生しますので、機器の交換などを行うことがあります。夜間にそういった障害対応をしたときには、その発生箇所や原因、対応内容などを確認するわけです。

続いて、ルータなどのネットワーク機器のログをチェックします。ログの履歴を見ると、DoS攻撃など外部からの攻撃が行われたかどうかを確認できます。DoS攻撃は、ホームページの再読込といったサーバーへのリクエストを大量に送りつけることで、サーバーを応答不能にしてしまう攻撃です。

対応としては、まずはネットワーク機器などが検出したデータを参考にして状況を整理します。具体的には、一定の時間内におけるリクエストの数について「この数値を超えたらDoS攻撃の可能性がある」というしきい値を決めておき、その数値を超えている部分をチェックするわけです。

最後に、レポート関係をチェックします。レポートはサービスや機器の管理コンソールなどが出力するもので、サービスの利用状況やネットワークの状況などを総合的に見ることができます。それが終わると、本来の担当業務であるVPS関連の業務に戻ります。

VPS関連の業務では、システムの変更や開発部門が開発した新しいものをデプロイする。あるいは障害対応してくれるチームの手順書の更新をしたりしています。もともとの担当はVPSなのですが、不正利用関係を調べるときは全サービスをみています。

土日や祝日の出勤はないですが、長期の休みでもさまざまな問題が発生しますので、そういうときは数日おきに、休日・夜間対応してくれた方の対応状況・対応履歴などを見ています。

以前、時刻を同期するためのプロトコル「NTP」の脆弱性が原因で、DDoS攻撃がたびたび行われた時期がありました。そのときはネットワーク全体でパケットロスが出て、通信エラーが頻発するという連絡を受けて、夜に調べたこともありました。

DoS攻撃の懸念があるときには、通信の内容を確認します。この場合、通信の秘密に関する阻却事由が成立するという見解が取られているので、内容を確認できるのです。しかし、生のトラフィックを全部見るのは通信の秘密に抵触します。いまだと8192分の1パケットでサンプリングする仕組みがあるので、それを分析するのですが、そのすべてにSYNフラグが立っていれば異常と考えられます。一方で、すべてパケットサイズが一緒でUDPだったりすると、おかしいという判断もできます。ただし最近のDDoS攻撃は、ごく短時間で収束するものが増えています。

嶋崎:アビューズチームは、主に迷惑行為や不正なサイトなどの報告や依頼を受け付け、対応する窓口となっています。依頼というのは、たとえば「不正アクセスされているようです」とか、「このページの記事を消して欲しい」などといったものですね。

9時半の出社時から、さまざまなところから来ている報告や通報について、どういう状況、どのくらいの数がきているかを確認して、誰がどの対応をするかといった仕事の割り振りなどをします。その間に電話が鳴れば電話を取り、警察が来れば対応してといった感じで一日を過ごしています。そのなかで気づきなどもあるので、改善できることがないかなどを考えながら通常の報告対応業務をしています。それで一日があっという間に終わる感じですね。

――お二人はどのように連携しながら仕事をしているのでしょうか?

山下:私は社歴も長いので、いろいろな部署をウロウロしておりまして、1年ほどカスタマーセンターでお客様対応をしながら、テクニカルスキルに関する社内講習のようなものを担当していたこともありました。そのときに嶋崎さんとは机が近かったですが、実際に連携するようになったのは、嶋崎さんがアビューズチームに来た2年前からになります。

実際に連携しての業務としては、私がセキュリティ上の問題を見つける部分を担当していまして、それを約款に照らし合わせてどう対応するのかを法務担当のチームが判断する。それが技術的にどの程度のリスクがあるのかを話した上で、その後のお客様対応などの判断は嶋崎さんおよびアビューズチームが行っていく形です。

――セキュリティ面での問題にはどのようなものがありますか?

山下:広く見れば迷惑メールの方が件数は圧倒的に多いと思いますが、私の担当する範囲では、ログに残りやすいという意味もありますが、ブルートフォースアタックが一番多いと思います。具体的にお客様から通報が来るのは、パスワードの辞書攻撃やSSHが一番多いのではないかと思います。Web関係も見ますが、こちらで検出している数に比べると外部からの通報数は相対的にみて少ないように思います。たぶん、お客様はWeb関係のログはご覧になっていないのではないかと。

――それは、どのように検出しているのでしょうか?

山下:そこはコツがあります。私たちは通信の秘密で規制されていますし、お客様に安心してサービスをご利用いただくために、通信の秘密に関係する部分は見ません。どうするかというと、極力、外部の情報を使います。たとえば「CleanTalk」というサイトがあります。ここは主として、CMSのためのプラグインとして使われる、コメントスパムをブロックするためのプラグインがブロックした際に、そのコメントの発信源をデータベースに記録して公開しています。

その記録は誰でも見ることができます。ここに当社のAS番号を入れると、その時点で記録されているものが一覧で表示されます。これは一例ですが、ほかにも好んでみているところが2箇所あります。こういった外部の情報源について、定期的にちょっとしたスクリプトでダウンロードして、そのIPが自社のものであるかどうかを照合します。

また、「blocklist.de.」や「stop forum spam」というサイトもチェックしています。ここでは、スパムメールやコメントスパムをチェックできます。重要なのは日付の記録がはっきりとわかることです。DSBL(Distributed Server Boycott List)を使うのが一般的ですが、DSBLの問題点は、いつどんな理由でブロックしたかがわからないことです。悪質な行為が行われている可能性はあっても、それをもとにサービスを制限するといったところまではいけないんですね。

CleanTalk : https://cleantalk.org/
Stop forum spam : http://www.stopforumspam.com/
www.blocklist.de : http://www.blocklist.de/

こういった外部の情報源のどこを信頼するかという課題もあります。それを判断するためには、たとえばサイトの運営者から直接アビューズに連絡が来る場合には、同じ情報が複数のサイトにも出ていることを確認します。また、前述のblocklist.deなどは能動的に連絡をいただけるので、信頼性が高いと言えます。

一方、リソースの状況であれば、こちらでVPSのCPU利用状況などを確認できるので、対象となるサービスのリソース、たとえばCPUの負荷が高かったり、ネットワークのトラフィックが高負荷となっていたりするようであれば状況証拠と考えられるので、それと外部の情報を合わせて総合的に判断します。

迷惑メールに関しては、受信された方から直接、アビューズに連絡をいただくケースが多いです。それと、Spamhausの影響が非常に強いですね。Spamhausはスパムメールをフィルタリングするためのブラックリストを提供していて、そこに当社のIPアドレスが載るケースが多いんです。

SPAMHAUS(The Spamhaus Project Ltd.):https://www.spamhaus.org/

しかも、まれにIPアドレスをサブネット単位でブラックリストに登録してしまうことがあるのです。そうすると、正規の利用をしている人までブラックリストに入ってしまいます。Spamhausを参照しているお客様も多いので、Spamhausがサブネット単位でブロックした際に、「メールが届きません」といった連絡が当社の外部向け窓口に集中してしまうことがあります。

――いまでもスパムの配信に悪用されたりしているのですか?

嶋崎:2015年6月末くらいまでは、スパムメールが非常に多い状態でした。しかし、送信させないようにする取り組みをいろいろ行った結果、いまでは激減しています。取り組みとしては、通報される数が多い状態が続いている傾向が見えたものについては厳しい対応を行ったり、そういうことが判明し、迷惑メールしか送っていない、それしか見えないというユーザーは、契約解除に持ち込んだりしました。

たとえば、2015年1月ぐらいからおかしいなと思っていた、あるユーザーのケースでは、クラウドを利用して迷惑メールが送信されていたということが1月にたくさんあったことから、その契約者や申し込み情報などを照合した結果、どうも週末、金曜日の夕方にサーバーを申し込んで、そこから迷惑メールを送信していることが判明しました。

なぜ金曜日の夕方かというと、さくらインターネットは基本的に土日が休みですので、対応が週明けの月曜日になります。犯罪者もそれを承知の上で、月曜日に契約を強制解除されてしまうまでの間、つまり金曜日の夜から月曜日の朝までの間にスパムメールを送りまくるわけです。

そこでアビューズでは、まずは一度止めてみて反応を待ってみようということで、クラウドをバンバン止めてみたところ、何の反応もありませんでした。2~3回止めたら申し込みがピタッと止まったわけです。すると、そのあと今度はVPSに移動して、わかりづらいような感じでまた金曜日の18時くらいからサーバーを申し込んで、セットアップし終わるのが19時から20時、そこから迷惑メールを一斉に何百万通も送っていました。

それが最初は1台のサーバーで、こちらもまずは連絡をするという通常のフローで対応していました。でも、毎週月曜日になると、そういう状況が確認されるんですね。2回目までは「たまたまだろう」、でも3回目になると「おかしい」ということで、接続元の情報を集めてみました。そうすると、毎週金曜日の同じ時間帯の前後に名前をコロコロ変えてサーバーの契約をしていることがわかりました。

どうにか止めることはできないかということで、通常、アビューズは土日祝日がお休みなのですが、土曜日などに出てきて、朝の時点で通報が1件でもあった場合はサーバーを止めるという対応を2015年4月くらいから始めました。1台のサーバーが2台になり、3台になり、ピークでは10台くらいありました。どんどん止めて数を減らしましたが、何カ月間はイタチごっこが続きました。いまは1カ月に1回くらい、休み前に現れます。大型連休の最終日などを狙ってくる。いろいろ考えているんですよね。1台借りて何百万通と送っています。

いまはもう、人海戦術で隙を作らないような体制を作りました。夜に数万通送った場合、翌日の朝には止められるようにしたわけです。とはいえ、犯罪者は1万円以内のお金を無駄にされても、十分に儲けはあるんだろうなと思います。

――その一連の流れで、プロファイルできた部分はありますか?

山下:正確なところはわかりませんが、あれは日本人かなと思いました。というのも、外国人の場合は典型的な日本人名をかたる場合が多く、このケースはそれに該当していませんでした。外国人が悪事を働く際にかたる日本人名には、どうやら流行があるみたいで、たとえば2009年ころは「山田太郎」が多く、2012年ころには「篠田麻里子」が多かったんです。「中田英寿」が多い時期もありました。

こういった怪しい名前で登録された場合は、少し細かく登録者の情報を見ます。そうすると、メールアドレスの@以前が、明らかに日本語ではないことがあります。住所にも怪しい点があったりしますね。また、「秘密の質問」の答えが素っ頓狂なものだったりします。そういったことを総合的に見て、どのような人物かをプロファイルしていくわけです。

嶋崎:スパムメールの内容についても、最初は無修正のDVDを売るものがほとんどでした。その後は違法B-CASカードを売るものが主流になりました。そんな中で最近、うちのネットワークではなかったのですが、たまたま同じ文章だったので「また、さくらだろ。おまえ、いい加減にしろ」という通報があって、よくよくネットワークの情報を調べたら、うちではなかったということがありました。

もう少し細かく言いますと、こちらでスパムメールの発信源を確認したら、競合他社のホスティングサービスを利用していたのです。ところが、そのスパムメールの本文からリンクしているB-CAS販売サイトのサーバーが、当社のものだったんです。同じ文面のまま、当社から他社のサーバーへ移動していたわけです。犯罪者も複数のサービスを利用して、1社がダメになっても別の1社でカバーしているんですね。

山下:当社のVPSでは、イニシャルコストで初期費用と1カ月分の月額費用で2千円前後がかかります。それがおそらく、金曜日の夜から月曜日の朝までで取り返せるんでしょうね。

――最後に、お仕事を通して感じたことや、今後の目標等があれば教えてください。

山下:個人的な思いとしては、インターネットの健全な発展がとても大切だと思っています。それを妨げることがないようにして社会の下支えをしたい。そのためにがんばっていきたいですね。

嶋崎:インターネットに迷惑をかけないためにも迷惑メールや不正アクセス等の通報が「0」になるような取り組みを考え、誰でも安心してインターネットを利用できる環境づくりを目標としてがんばりたいと思います。

 

――ありがとうございました。これからもインターネットとさくらの平和を守るためにがんばってください!