8日未明に発生したシステム障害によりサービス停止中の「ニコニコ動画」が、7月末までサービスを停止する見通しであることがわかった。運営会社のドワンゴは14日にニコニコチャンネルのユーザ・運営者に向けて送付したメールのなかで通知した模様。サービスの復旧には1カ月以上かかる見込みであり、チャンネル運営者に対し生放送配信や動画投稿などを7月末まで中止するよう求めているという。
また、有料ニコニコチャンネル会員やニコニコチャンネル運営者に対して6~7月分の補償を行うと説明。具体的な内容は検討中だとしている。
サービス停止が約2カ月という異例の長さになる見通しとなっている背景は何か。
「サイバー攻撃を受けてKADOKAWAが運営するシステムのほぼ全体に障害がおよんでおり、範囲が大きいため原因の特定と対策の検討に時間がかかっていると考えられる。ニコニコはシステムを再構築すると説明しており、別のハードウェア環境をたてて構築する必要があり、再びサイバー攻撃を受けても障害が起きないように設計するところから始めなければならないので、非常に時間がかかってしまうのは仕方がない。
また、かつてであれば障害が起きればエンジニアが不眠不休で対策にあたるというのは珍しくなかったが、昨今は法律や政府が推進する働き方改革などの影響もあり、社員に長時間残業をさせることが許されなくなった。たとえ障害時であっても企業が社員に一定以上の労働時間を強いることができなくなったという事情も影響してくるかもしれない。サービス停止が長引くほど、売上と利益が下押しされて事実上の損失が拡大するので、会社としては頭が痛いところだ」(ウェブサービス企業プログラマー)
当サイトは12日付記事『ニコ動・障害「サイバー攻撃防ぎながらシステム再構築」は想像を絶する難作業』でサービス復旧に向けた作業の内容について検証していたが、以下に再掲載する。
――以下、再掲載(一部抜粋)――
8日未明に発生した「ニコニコ動画」をはじめとするKADOKAWAの複数のサービスのシステム障害が長期化の様相を呈している。同社はサイバー攻撃を受けた可能性が高いとしているが、詳しい原因や普及の見通しは不明。10日にはニコニコ運営チームがリリースを発表し、「ニコニコのシステム全体を再構築をするための対応を進めています」と説明。11日にはYouTubeチャンネルで現時点で話せる内容はほとんどないとし、復旧時期の見込みなどについて今週中に説明の機会を設けると報告。復旧まで時間を要するとみられるが、背景には何があるのか。また、システム全体の再構築とは、どれほど重い作業なのか。専門家の見解を交えて追ってみたい。
同社の発表によれば、障害が発生しているのは、動画共有サービス「ニコニコ動画」、KADOKAWAのオフィシャルサイト全体、ECサイト「エビテン(ebten)」など広い範囲。学校法人の角川ドワンゴ学園が運営する「N高等学校(N高)」「S高等学校(S高)」でも障害が発生し、学習アプリ「N予備校」での映像学習やレポート提出などすべてのサービスが利用できない状況となった(すでにN/S高の生徒に限定し利用再開)。KADOKAWAは出版事業も手掛けており、書店からサイト経由での発注や出庫確認ができないとの情報もある。
同社は関連するサーバをシャットダウンしているため、現在、外部からのアクセスはできない。
復旧までに長時間を要する原因
障害は8日未明に発生し、12日10時現在、いまだに復旧のメドは立っていないが、ニコニコによる「システム全体を再構築をする」との説明をめぐり、ネット上では以下のように、その大変さを心配する声が相次いでいる。
<システム全体の再構築とかデスマーチ確定じゃないか>
<なんて大変な。想像を絶する>
<相当な工数かかりそう>
<被害状況調べながら攻撃防ぎながらのシステム再構築って>
<元インフラ系の人間としては、身につまされる思いです>
<ものすごい決断>
<再構築。IT屋の嫌いな言葉です>
どのような作業だと推察されるのか。データアナリストで鶴見教育工学研究所の田中健太氏はいう。
「11日にニコニコ代表の栗田穣崇氏は『サイバー攻撃を今も継続して受け続けており、現在攻撃の届かない安全な別のところにシステムを移して、再構築している』と説明しており、現在とは異なる環境に現行システムを移行し、そこに立ち上げたシステムでサービスを提供しようとしています。サイバー攻撃を受けて障害が起きたということは、ニコ動含めKADOKAWAのシステム全体のどこかに脆弱性が存在する可能性があるため、単に現行システムをコピーして移行しただけでは、再び攻撃を受けて障害が生じる恐れがあります。すべてのプログラムやハードウェアの設定をレビューして脆弱性のある部分を洗い出し、対策を施し、攻撃テストを行って同じ攻撃を受けても正常に稼働することを確認する必要があります。システムにはアクセスログが残るので、それをたどっていくことで、侵入経路や脆弱性のある部分を見つけられることもありますが、攻撃者によってログが消されたり改ざんされている可能性もあります。
こうしたことが復旧までに長時間を要する原因になっていると考えられ、単純なサーバダウンのようにバックアップ用システムをコピーして本番環境の戻し作業をすればよいというレベルではありません」
サービス停止の長期化にはニコ動特有の要因もあるという。
「ニコ動は20年近く前につくられたもので、現在に至るまで都度、必要に応じてエンハンスが行われてきたため“つぎはぎ”的なシステムになっている面もあるかもしれません。加えて、少数の凄腕プログラマーが極めて短期間で開発したものなので、脆弱性の箇所の特定や対策に、より時間を要する可能性もあります」(田中氏)
サイバー攻撃の種類
前述のとおりサイバー攻撃の具体的な内容は明かされていないが、どのような種類のものだと考えられるのか。また、攻撃を行っている犯人の目的はなんなのか。
「データを保全するためにサーバをシャットダウンしたと説明していることから、データ漏洩(ろうえい)の恐れがあると考えているのかもしれず、一斉に大量のアクセスを仕掛けるDDoS攻撃ではなく、ウイルス系のものである可能性が考えられます。犯人の目的はわかりませんが、ランサムウェアであれば盗んだデータを人質にして身代金を得ることでしょうし、思想的な背景を持つ集団がKADOKAWAを困らせるために行ったり、単に愉快犯的に行ったということも考えられます。システム上の個人情報や貴重な情報を盗難するという目的も考えられ、過去には発表前の映像作品を盗んでネット上に違法にアップロードするという事例も起きています。このほか、あらゆるところへウイルスメールを送りつけていたなかで、たまたまKADOKAWAのシステムが引っかかったということも考えられ、その場合はKADOKAWAを標的にした攻撃ではないということになります」(田中氏)
増加するサイバー攻撃
近年、サイバー攻撃は増えている。総務省「令和5年版 情報通信白書」によれば、情報通信研究機構(NICT)が運用している大規模サイバー攻撃観測網(NICTER)が2022年に観測したサイバー攻撃関連通信数(約5226億パケット)は、15年と比較して8.3倍に増加。米サイバーセキュリティ企業・クラウドストライクが公表している「最も一般的なサイバー攻撃の種類トップ」(23年9月20日)によれば、サイバー攻撃の種類別1位は「マルウェア」、2位は「サービス拒否(DoS)攻撃」、3位は「フィッシング」、4位は「スプーフィング」、5位は「アイデンティティベース攻撃」となっている。マルウェアは標的に危害を与える目的のソフトウェアで、「ランサムウェア」「トロイの木馬」「スパイウェア」「ワーム」などが代表的だ。DoS攻撃は標的のシステムに対して大量の架空のリクエストを送付し正常な稼働をできなくするもので、複数の発信元からより大量の架空リクエストを送信するDDoS攻撃への警戒も高まっている。
日本企業をはじめとする日本の組織へのサイバー攻撃は増加している。22年2月、トヨタ自動車はハッキングを受け3月に国内全14工場の稼働を停止。同年10月にランサムウェアの攻撃された大阪急性期・総合医療センターでは、新規外来受け入れへの影響が約2カ月続いた。23年11月、トヨタの金融子会社・トヨタファイナンシャルサービスがランサムウェアグループ「Medusa」の攻撃を受け、Medusaは同社から盗んだデータを人質に800万ドル(当時の為替レートで約11.7億円)の身代金を要求。先月に発生したJR東日本の「モバイルSuica」「えきねっと」のシステム障害もDDoS攻撃を受けたとみられている。
(文=Business Journal編集部)