ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-03-26

マイネットへの不正アクセスについてまとめてみた

| 03:52 |  マイネットへの不正アクセスについてまとめてみたを含むブックマーク

2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。

ここでは関連情報をまとめます。

公式発表

(公式発表の一部は更新が適宜行われているため、最初に公開された日付を記載しています。)

インシデントタイムライン

日付出来事
2018年3月1日 11時頃何者かがマイネットの内部ネットワーク侵入し、サーバー不正アクセス
サーバー上のデータ削除スクリプトを実行。(1回目の不正アクセス
〃 11時40分マイネットシステム部門の担当者がサーバーから発出されたアラートを検知。
また同タイミングにて複数サービスにてシステム障害の発生を確認。
〃 12時頃マイネットのゲームサービス13個でシステム障害が発生。
〃 13時00分頃影響が確認されたサービスを緊急メンテナンスへ順次移行を開始。
〃 13時10分頃障害発生が確認されたサーバーが稼動している都内データセンターで調査を開始
〃 14時00分頃都内データセンター内のサーバーで異常が無いことを確認。
〃 19時00分頃不正アクセスに利用されたと見られるサーバーの特権IDでサーバーのデータを削除するスクリプトを発見。
サーバーログインパスワードの変更を実施。
〃 19時30分頃サービス影響が確認されていないタイトルから順次再開
2018年3月2日 1時頃までマイネットが影響が出たタイトル7つを再開。
〃 3時30分頃までマイネットが影響が出たタイトル2つを再開。(合計9個が再開。)
2018年3月3日 0時頃マイネットが影響が出た残りのタイトルを再開。(合計12個が再開。)
〃 17時30分頃何者かがVPN経由でマイネットのサーバー不正アクセス。データ削除コマンドを実行。(2回目の不正アクセス)
〃 17時40分頃マイネットのサービス担当者がサーバーデータベースが消失していることを確認。
〃 19時頃マイネットが複数のサービスにて不具合の発生を確認。
〃 同じ頃調査の結果、同一IPアドレスから複数アカウントVPN へのアクセスおよびサーバーへのログインが確認された。
対象のVPNアカウント及びVPN自体を全て停止。
〃 19時30分頃マイネットが当該事案が不正アクセスの可能性が高いと判断。
不正アクセスされたサーバーと類似環境にて運営中のサービス停止を決定。
〃 同じ頃緊急対策チームの組成を実施。初動対応に着手。
2018年3月4日 1時頃マイネットが3日18時頃から複数タイトルで障害が発生していると発表。
〃 21時45分マイネットが警察へ通報。
2018年3月7日以降マイネットがサービスの再開作業を開始。
2018年3月15日 15時00分頃マイネットがサービス3つを再開。
2018年3月16日 12時30分頃マイネットがサービス1つを再開。(合計4個が再開。)
2018年3月19日 12時00分頃マイネットがサービス2つを再開。(合計6個が再開。)
2018年3月19日 15時00分頃マイネットがサービス1つを再開。(合計7個が再開。)
2018年3月20日 17時00分頃マイネットがサービス2つを再開。(合計9個が再開。)
2018年3月20日 19時00分頃マイネットがサービス2つを再開。(合計11個が再開。)
2018年3月22日 12時00分頃マイネットがサービス1つを再開。(合計12個が再開。)
2018年3月22日 15時00分頃マイネットがサービス1つを再開。(合計13個が再開。)
2018年3月26日マイネットが同社サービスへの不正アクセス中間調査報告書を公開。
2018年4月17日マイネットが最新の障害対応状況を報告。
2018年4月18日マイネットが最新の障害対応状況を報告。

被害の状況

不正アクセスの概要
  • 中間報告書などをもとに起こしたイメージ図は次の通り。

f:id:Kango:20180327034512p:image

システム障害が発生したサービス
Noタイトル名稼働環境稼働状況
1天下統一オンラインMobage3月15日15時頃再開
2GREE3月15日15時頃再開
3dゲーム3月22日15時頃再開
4タイトル(タイトル名非公開)<海外地域>不明3月15日15時頃再開
5〃 <国内地域>不明3月23日16時時点で停止中
6熱血硬派くにおバトルMobage3月16日12時30分頃再開
7HUNTER×HUNTER バトルコレクション<ForGroove 提供>Mobage3月19日12時頃再開
8Ameba3月23日16時時点で停止中
9dゲーム3月23日16時時点で停止中
10HUNTER×HUNTER アドバンスコレクション<ForGroove 提供>Yahoo!モバゲー3月19日12時頃再開
11HUNTER×HUNTER トリプルスターコレクション<ForGroove 提供>GREE3月22日12時頃再開
12究極×進化!戦国ブレイクYahoo!モバゲー3月19日15時頃再開
13ラグナブレイク・サーガYahoo!モバゲー3月20日17時頃再開
14DMM GAMES3月20日17時頃再開
15アヴァロン ΩAndroid3月20日19時頃再開
16iOS3月20日19時頃再開
17アヴァロンの騎士dゲーム3月23日16時時点で停止中
18GREE3月23日16時時点で停止中
19Mobage3月23日16時時点で停止中
20神魔×継承!ラグナブレイクAmeba3月23日16時時点で停止中
21dゲーム3月23日16時時点で停止中
22GREE3月23日16時時点で停止中
23mixi3月23日16時時点で停止中
24Mobage4月17日15時頃再開
25ファイナルファンタジー グランドマスターズスクウェア・エニックス提供>Android3月23日16時時点で停止中
26iOS3月23日16時時点で停止中
27ミリオンアーサー エクスタシスdゲーム4月18日15時頃再開
28GREE4月18日15時頃再開
29Mobage4月18日15時頃再開
30コロプラ4月18日15時頃再開
マイネットのサービス再開基準
その他関連する情報

マイネットのサーバー不正アクセスを受けた原因

窃取されたとみられるクレデンシャル盗んだ方法
ビジネスチャットツール(5アカウント)中間報告の段階では判明せず
VPNアカウント運用担当者間でビジネスチャット上でID、PWのやり取りが行われていた。
これが盗み見られた可能性がある。*1
グループウェアアカウント中間報告の段階では判明せず
グループ内のActive Directory中間報告の段階では判明せず
不正アクセスで確認された行為

何者かが行った不正アクセス行為は以下の通り。

2018年3月1日特権IDを用いてデータを削除するスクリプトを実行。
2018年3月3日データ削除コマンドを実行。

マイネットが行った対処内容

初動対応原因の調査
ユーザーのゲームデータの保全
開発環境の復旧
サービス再開に必要なセキュリティ対策の実施
他タイトルへの影響調査
復旧対応サービス再開に必要なセキュリティ対策
データ保全方法の強化
サーバーの復旧
一部データの復元
など
再発防止抜本的な情報セキュリティ強化対策を取るプロジェクトの立ち上げ
外部の専門アドバイザー等の再発防止への取り組み
追加で調査必要と判断した場合は、第三者による調査等の検討

更新履歴