piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

マイネットへの不正アクセスについてまとめてみた

2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。
ここでは関連情報をまとめます。

公式発表

(公式発表の一部は更新が適宜行われているため、最初に公開された日付を記載しています。)

インシデントタイムライン

日付 出来事
2018年3月1日 11時頃 何者かがマイネットの内部ネットワークへ侵入し、サーバーへ不正アクセス
サーバー上のデータ削除スクリプトを実行。(1回目の不正アクセス
〃 11時40分 マイネットシステム部門の担当者がサーバーから発出されたアラートを検知。
また同タイミングにて複数サービスにてシステム障害の発生を確認。
〃 12時頃 マイネットのゲームサービス13個でシステム障害が発生。
〃 13時00分頃 影響が確認されたサービスを緊急メンテナンスへ順次移行を開始。
〃 13時10分頃 障害発生が確認されたサーバーが稼動している都内データセンターで調査を開始
〃 14時00分頃 都内データセンター内のサーバーで異常が無いことを確認。
〃 19時00分頃 不正アクセスに利用されたと見られるサーバーの特権IDでサーバーのデータを削除するスクリプトを発見。
サーバーのログインパスワードの変更を実施。
〃 19時30分頃 サービス影響が確認されていないタイトルから順次再開
2018年3月2日 1時頃まで マイネットが影響が出たタイトル7つを再開。
〃 3時30分頃まで マイネットが影響が出たタイトル2つを再開。(合計9個が再開。)
2018年3月3日 0時頃 マイネットが影響が出た残りのタイトルを再開。(合計12個が再開。)
〃 17時30分頃 何者かがVPN経由でマイネットのサーバーへ不正アクセス。データ削除コマンドを実行。(2回目の不正アクセス)
〃 17時40分頃 マイネットのサービス担当者がサーバーのデータベースが消失していることを確認。
〃 19時頃 マイネットが複数のサービスにて不具合の発生を確認。
〃 同じ頃 調査の結果、同一IPアドレスから複数アカウントVPN へのアクセスおよびサーバーへのログインが確認された。
対象のVPNアカウント及びVPN自体を全て停止。
〃 19時30分頃 マイネットが当該事案が不正アクセスの可能性が高いと判断。
不正アクセスされたサーバーと類似環境にて運営中のサービス停止を決定。
〃 同じ頃 緊急対策チームの組成を実施。初動対応に着手。
2018年3月4日 1時頃 マイネットが3日18時頃から複数タイトルで障害が発生していると発表。
〃 21時45分 マイネットが警察へ通報。
2018年3月7日以降 マイネットがサービスの再開作業を開始。
2018年3月15日 15時00分頃 マイネットがサービス3つを再開。
2018年3月16日 12時30分頃 マイネットがサービス1つを再開。
2018年3月19日 12時00分頃 マイネットがサービス2つを再開。
2018年3月19日 15時00分頃 マイネットがサービス1つを再開。
2018年3月20日 17時00分頃 マイネットがサービス2つを再開。
2018年3月20日 19時00分頃 マイネットがサービス2つを再開。
2018年3月22日 12時00分頃 マイネットがサービス1つを再開。
2018年3月22日 15時00分頃 マイネットがサービス1つを再開。
2018年3月26日 マイネットが同社サービスへの不正アクセスの中間調査報告書を公開。
2018年3月28日 16時00分頃 マイネットがサービス1つを再開。
2018年4月17日 マイネットが最新の障害対応状況を報告。
2018年4月17日 15時00分頃 マイネットがサービス1つを再開。
2018年4月18日 マイネットが最新の障害対応状況を報告。
2018年4月18日 15時00分頃 マイネットがサービス1つを再開。
2018年4月20日 12時00分頃 マイネットがサービス1つを再開。
2018年4月20日 15時00分頃 マイネットがサービス1つを再開。
2018年5月2日 15時30分頃 マイネットがサービス1つを再開。
2018年5月11日 マイネットが最終報告書を公開。
2018年6月7日 15時00分頃 マイネットがサービス1つを再開。(合計14個が再開。)
2018年6月27日 15時00分頃 マイネットがサービス1つを再開。(合計15個が再開。)
2018年7月27日 15時00分頃 マイネットが残りのサービスを再開。

被害の状況

不正アクセスの概要
  • 中間報告書などをもとに起こしたイメージ図は次の通り。


システム障害が発生したサービス
  • 全部で13のタイトル、(サービス数単位で30個)で不正アクセス、及びマイネットの緊急メンテナンスにおいてサービスが停止する障害が発生した。
No タイトル名 稼働環境 稼働状況
1 天下統一オンライン Mobage 3月15日15時頃再開
2 GREE 3月15日15時頃再開
3 dゲーム 3月22日15時頃再開
4 タイトル(タイトル名非公開)<海外地域> 不明 3月15日15時頃再開
5 〃 <国内地域> 不明 3月28日16時頃再開
6 熱血硬派くにおバトル Mobage 3月16日12時30分頃再開
7 HUNTER×HUNTER バトルコレクション<ForGroove 提供> Mobage 3月19日12時頃再開
8 Ameba 4月20日15時頃再開
9 dゲーム 4月20日15時頃再開
10 HUNTER×HUNTER アドバンスコレクション<ForGroove 提供> Yahoo!モバゲー 3月19日12時頃再開
11 HUNTER×HUNTER トリプルスターコレクション<ForGroove 提供> GREE 3月22日12時頃再開
12 究極×進化!戦国ブレイク Yahoo!モバゲー 3月19日15時頃再開
13 ラグナブレイク・サーガ Yahoo!モバゲー 3月20日17時頃再開
14 DMM GAMES 3月20日17時頃再開
15 アヴァロン Ω Android 3月20日19時頃再開
16 iOS 3月20日19時頃再開
17 アヴァロンの騎士 dゲーム 4月26日15時頃再開
18 GREE 4月26日15時頃再開
19 Mobage 5月2日15時30分頃再開
20 神魔×継承!ラグナブレイク Ameba 6月7日15時頃再開
21 dゲーム 7月27日15時頃再開
22 GREE 6月7日15時頃再開
23 mixi 6月27日15時頃再開
24 Mobage 4月17日15時頃再開
25 ファイナルファンタジー グランドマスターズスクウェア・エニックス提供> Android 4月20日12時頃再開
26 iOS 4月20日12時頃再開
27 ミリオンアーサー エクスタシス dゲーム 4月18日15時頃再開
28 GREE 4月18日15時頃再開
29 Mobage 4月18日15時頃再開
30 コロプラ 4月18日15時頃再開
マイネットのサービス再開基準
  • ユーザーデータの保全強化策の完了
  • 2018年3月26日時点で考えうるセキュリティ作業の完了
  • 社外ステークホルダーの承諾
その他関連する情報
  • 不正アクセス元から金銭の要求などは行われていない。
  • クレジットカード情報はマイネットは保有しておらず、情報漏えいの恐れはない。
  • ブラウザタイトル版以外のサービスはメールアドレス情報を保存しているが流出は確認されていない。

マイネットのサーバーが不正アクセスを受けた原因

  • 何者かが次のマイネットのクレデンシャル情報を盗み、不正アクセスを行ったため。
窃取されたとみられるクレデンシャル 盗んだ方法
ビジネスチャットツール(5アカウント) 中間報告の段階では判明せず
VPNアカウント 運用担当者間でビジネスチャット上でID、PWのやり取りが行われていた。
これが盗み見られた可能性がある。*1
グループウェアアカウント 中間報告の段階では判明せず
グループ内のActive Directory 中間報告の段階では判明せず
不正アクセスで確認された行為

何者かが行った不正アクセス行為は以下の通り。

2018年3月1日 特権IDを用いてデータを削除するスクリプトを実行。
2018年3月3日 データ削除コマンドを実行。

マイネットが行った対処内容

初動対応 原因の調査
ユーザーのゲームデータの保全
開発環境の復旧
サービス再開に必要なセキュリティ対策の実施
他タイトルへの影響調査
復旧対応 サービス再開に必要なセキュリティ対策
データ保全方法の強化
サーバーの復旧
一部データの復元
など
再発防止 抜本的な情報セキュリティ強化対策を取るプロジェクトの立ち上げ
外部の専門アドバイザー等の再発防止への取り組み
追加で調査必要と判断した場合は、第三者による調査等の検討

更新履歴

  • 2018年3月27日 AM 新規作成