(続)ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生

To: support@sakura.ad.jp 宛でメールが飛んできた。公益性が高いと判断したので以下全文転載(確信犯)。

Message-Id: <200806040838.m548cxkZ055751@mail.sakura.ad.jp>
Date: Wed, 04 Jun 2008 17:38:59 +0900
From: SAKURA Internet <support@sakura.ad.jp>
To: support@sakura.ad.jp
Subject: 専用サーバ10Mスタンダード(219.94.145.0〜127)障害のご報告
Sender: support@sakura.ad.jp
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
X-Mailer: Becky! ver. 2.21.03 [ja]


                                           さくらインターネット株式会社
                                       代表取締役社長 兼 最高経営責任者
                                                              田中 邦裕


    [ 専用サーバ10Mスタンダード(219.94.145.0〜127)障害のご報告 ]


平素はさくらインターネットをご利用いただき、誠にありがとうございます。

2008年6月1日(日)01時52分から6月2日(月)17時23分にかけて、弊社ネット
ワークに対する外部からの攻撃により、専用サーバ10Mスタンダードの一部の
範囲において障害が発生いたしました。

具体的には、IPアドレス「219.94.145.0〜127」ネットワーク内の一台のサーバ
に不正な設定がなされ、ARPスプーフィング(ARP Spoofing)と呼ばれる手法に
よる弊社ゲートウェイの不正利用と、不正な設定がされたサーバより、一部の
通信へ攻撃コードが挿入されるという事象を確認しております。また、これに
伴い同一ネットワークの通信が不安定となりました。

本件について、障害対応およびお客様へのご報告が遅れまして大変申し訳ござい
ませんでした。以下に経緯のご報告をさせていただくと共に、深くお詫び申し
上げます。


【発生日時】

 2008年6月1日(日)01時52分 〜 6月2日(月)17時23分


【影響範囲】

 専用サーバ 10M スタンダード(219.94.145.0 〜 219.94.145.127)


【障害1】
 お客様ご利用サーバと同一ネットワーク内に設置されているサーバの一台が、
 ゲートウェイIP アドレス(219.94.145.1)を不正利用いたしました。
 この影響によりお客様サーバからインターネットへ向けられる通信が、問題の
 あるサーバへと誘引されてしまう事象(ARP Spoofing)が発生しました。

【障害2】
 問題のあるサーバ内では、不正利用により悪意のあるプログラムが実行され、
 経由した通信に対し、<iframe> タグを利用した不正な攻撃コードを挿入し、
 閲覧者環境へのウイルス攻撃などを起こした可能性がございました。


障害1(ARP Spoofing)
●通常の動作

+------------+  [Request]   +--------+              +--------------+
|            |──────→|        |──────→|              |
|   閲覧者   |              | ゲート |              | お客様サーバ |
|    (*a)    |←──────| ウェイ |←──────|     (*b)     |
+------------+              +--------+   [Response] +--------------+




●ARP Spoofing による通信経路

+------------+  [Request]   +--------+              +--------------+
|            |──────→|        |──────→|              |
|   閲覧者   |              | ゲート |              | お客様サーバ |
|    (*a)    |←──────| ウェイ |  ┌─────|     (*b)     |
+------------+              +--------+  │[Response]+--------------+
                                ↑      │
                                │      │詐称により誘引される。
                                │      │
                                │      ↓
                                │    +------------+
                                │    |            |
                                └──| 問題サーバ |
                                      |    (*c)    |
                                      +------------+



1.  インターネットを通じてお客様サーバ上のウェブサーバに寄せられた
    アクセス要求 (上図中の [Request]) は、さくらインターネットの
    ゲートウェイ・ネットワークを通り、目的のウェブサーバへと送られます。

2.  リクエストを受けたウェブサーバは、アクセス元に対する応答 (上図中の
    [Response]) を返します。

3.  同一ネットワーク中に、ゲートウェイの IP アドレス(219.94.145.1)を詐称し
    ていた問題のサーバ (*c) が存在するため、応答のパケットは ゲートウェイ 
    もしくは 問題サーバ のいずれかを経由します。

    ※ 問題発生中は、いずれに対してパケットが送信されるか、不定な
       状態にあったと考えられます。




障害2(iframeタグの挿入)

+------------+  [Request]   +--------+              +--------------+
|            |──────→|        |──────→|              |
|   閲覧者   |              | ゲート |←──?───| お客様サーバ |
|    (*a)    |←──────| ウェイ |  ┌─?───|     (*b)     |
+------------+              +--------+  │[Response]+--------------+
                                ↑      │
                                │      │
        [malformed Response]    ※      │
        問題サーバを経由した    │      ↓
        通信に攻撃コードが混入  │    +------------+
                                │    |            |
                                └──| 問題サーバ |
                                      |    (*c)    |
                                      +------------+



1.  問題サーバ (*c) は、受け取ったパケットのデータコンテンツに
    <iframe> による攻撃コードを挿入していたと考えられます。

    ※ お客様サーバから、ゲートウェイを直接経由して閲覧元に返された
       レスポンスに問題はありません。


   *a : 閲覧者
             お客様サーバへアクセスした一般のインターネットユーザーです。

   *b : 影響を受けた専用サーバ(219.94.145.0 〜 219.94.145.127)
             これらサーバ上のウェブサーバにアクセスした場合に、閲覧者が
             ウイルス攻撃などを受けた可能性がございます。
             お客様サーバ自体は、不正侵入やウェブページの改竄などの被害は
             受けていないと考えられています。

   *c : 今回の障害の原因となった問題のサーバ
             不正利用によりゲートウェイ IP アドレスを詐称しており、この
             サーバ上で悪意のあるプログラムが実行されておりました。
             *b と同様に専用サーバとして提供しておりましたが、クラッキン
             グにより加害サーバとなった。


【原因について】

 219.94.145.0 〜 219.94.145.127 のネットワークに収容されている一台の
 サーバがクラッキングにより不正利用される被害が発生しました。その影響に
 より該当サーバのネットワーク設定において、弊社ゲートウェイの IPアドレス
 (219.94.145.1)を不正利用した状況となり、同一ネットワーク内に収容され
 ているサーバは断続的に通信が不安定となる状況が発生しました。

 該当サーバをネットワークから隔離することにより障害は解消しましたが、
 問題となったサーバの内部調査を実施したところ、該当サーバはウイルス
 感染を起こしていたことが判明しました。

 ウイルス感染の影響によって、該当サーバでは不正なプログラムが実行されており、
 発生時間帯において、外部から影響範囲のネットワーク中のウェブサーバへの
 リクエストを受けた際、アクセスを受けたサーバから閲覧者へ送信された
 レスポンスが、弊社ゲートウェイの IP アドレス(219.94.145.1)を詐称していた
 問題となるサーバを経由する場合がある状況が発生いたしました。
 問題のサーバは不正に中継したデータに対して、<iframe> による不正な攻撃
 情報を付加した可能性が高いと考えられます。
 閲覧者の端末にてウイルス対策ソフトなど防御策を講じていない場合、ウイ
 ルス感染など被害を受けた可能性がございます。



【障害経緯】

  2008/06/01(日)
   01:52   :ゲートウェイ IP アドレスの不正利用発生(ログによる)

  2008/06/02(月)

   16:00   :お客様からの問い合わせメールにより、ウェブサーバ接続時に
             不正な <iframe> タグが挿入されるという報告を確認

   16:30   :お客様からの問い合わせメールにより、ゲートウェイIPアドレスが
             不正に利用にされている可能性の報告を確認
             ※この段階では上記<iframe>と関連している問題と認識できず

   16:45   :不正に利用している問題のサーバの特定作業を開始

   16:55   :ゲートウェイIPアドレスの不正利用と、<iframe> による攻撃の関
             連性について情報収集を開始

   17:13   :ゲートウェイIPアドレスを不正利用している問題のサーバを特定

   17:23   :問題のサーバをネットワークから隔離
             ※この時点で今回の障害は復旧 

             以降、当該契約者と連絡を行い、問題サーバの内部調査と、
             事実確認などを実施
             現状に至る


【対応状況及び対策について】

  原因となったサーバのネットワークからの隔離と、ご契約者様およびサーバの
  調査を継続して行っております。現時点では悪意のある第三者からの不正アク
  セスが原因である可能性が高いと判断しております。

  ネットワーク配下の専用サーバが他のサーバのIPアドレスを不正利用する場合
  と異なり、本件のようなネットワーク配下の専用サーバが不正利用され、ゲー
  トウェイIPアドレスを詐称した場合の検知システムが整っておらず、長時間に
  わたり障害が発生する結果となりました。

  今後は、社内フローの見直し及び検知システムの整備を進め、再発防止に徹底
  して取り組んで参ります。

  この度は多大なるご迷惑をおかけ致しましたことを心よりお詫び申し上げます。



ご不明な点やご質問等ございましたら、本メール返信にてお問い合わせください。

今後ともさくらインターネットをよろしくお願いいたします。

─── さくらインターネット株式会社 ─────────────────

■カスタマーセンター (ご利用サービスについてのお問い合わせ窓口)
  URL    : http://support.sakura.ad.jp
  TEL    : 0120-775-664 (通話料無料) 平日 10:00〜18:00

───────────────────────────────────



関連

さすがひろみちゅの人は本質を分かっている。
個人的には"さくらインターネットの監視体制の甘さ"以外は問題にしていないです。当該セグメントにサーバーを借りていた一人としては。