piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

金融庁のWebサイト閲覧障害についてまとめてみた

2016年1月18日7時過ぎより発生していた金融庁のWebサイト閲覧障害について関連情報をまとめます。

インシデントタイムライン

日時 出来事
2016年1月18日 7時22分 攻撃を示唆する内容がTwitterへ投稿される。
〃 8時頃 NISCより金融庁へ犯行声明が出ているとの連絡。
金融庁DoS攻撃を受けていることを確認。
〃 10時頃 金融庁へのDoS攻撃が一旦解消される。
〃 15時頃 金融庁のWebサーバーが高負荷となり、Webサイトへ接続しづらくなる。
〃 18時頃 金融庁DoS攻撃が継続している状態であることを確認。

公式発表

閲覧障害の状況

2016年1月18日8時〜10時、15時〜23時頃にWebサイトの閲覧障害が発生。

  • この閲覧障害による改ざんや情報漏えいの発生や通常業務への影響はない。*1
  • Webサイトへは庁内外より接続ができない状態となっている。

障害発生の対象

次のWebサイトが影響を受け閲覧障害が発生していた。

対象 URL
金融庁 www.fsa.go.jp
証券取引等監視委員会 www.fsa.go.jp/sesc/

障害発生の原因

取材に対してDoS攻撃を受けたとみて断続的に接続障害が発生していると回答。*2

発端はNISCからの連絡

2016年1月18日 8時頃、内閣サイバーセキュリティセンターよりAnonymousと見られるアカウントより犯行声明が出ているとして連絡が行われた。*3

攻撃を示唆するTwitterへの投稿

2016年1月18日 7時24分にTwitter金融庁のWebサイトを落としたとする投稿。

金融庁Twitterへ行われた投稿と実際の攻撃についての因果関係は確認できていないとコメントしている。*4

Twitterの投稿から見る攻撃の推測

金融庁のWebサイトは2つのWebサーバー(61.202.238.171と58.5.167.12)がラウンドロビンで接続されるように構成されている模様。

推定されるIPアドレスと攻撃の時刻の関係は次の通り。

IPアドレス 攻撃実行時刻
61.202.238.171 2016年1月18日7時頃〜19日8時前接続可能
58.5.167.12 2016年1月18日15時頃〜同日深夜接続可能
  • 接続可能かについて、接続確認が取れたタイミングにおいても他の方が接続できなかったとの報告あり。

攻撃は「61.202.238.171」のみに対して行われていたためか、攻撃が行われている最中に接続できたことを報告している投稿もあった。

15時過ぎにはもう片方の「58.5.167.12」にも接続できなくなったとの投稿。これは金融庁が再び接続障害が発生したとコメントしていたタイミングと一致する。

2016年1月18日23時現在、最初に攻撃されたと推測されるIPアドレス「61.202.238.171」はDNSより引けなくなっている模様。Twitterの投稿を見る限り、昼過ぎにこの対応が行われたと考えられる。

2016年1月19日12時半現在、2つのIPアドレスが再度設定された模様。

金融庁の対応

  • 2016年1月18日 復旧作業対応

更新履歴

  • 2016年1月19日 AM 新規作成
  • 2016年1月19日 AM 最新情報の反映
  • 2016年1月19日 PM 最新情報の反映