不正アクセスによるサービス停止――事例から学ぶセキュリティ対策：RSA Conference 2009 JAPAN（1/2 ページ）

ゴルフダイジェスト・オンラインは、2008年秋に不正アクセス攻撃を受け、8日間のサービス停止を図った。同社COOがこの事件から学んだセキュリティ対策のポイントを紹介している。

[國谷武史，ITmedia]

大日氏

　ゴルフ愛好者向けに情報やゴルフ場予約、通信販売などのサービスを提供するゴルフダイジェスト・オンライン（GDO）は、不正アクセス攻撃が原因となって、2008年10月に8日間のサービス停止を行った。同社の最高執行責任者（COO）の大日健氏が、事件対応の詳細とそこから学んだセキュリティ対策について紹介した。

　GDOは2000年に設立され、3月末現在で約141万人の会員を抱える。同社サイトは月間約1億5000万ページビューを持つ国内有数のオンラインメディアでもあり、特にゴルフ場予約サービスなどにおける会員向けメールは、月間約200万通が送信されている。

　同社は2008年9月30日にサーバへの不正アクセス攻撃を受け、10月2日からサービスを全面停止せざるを得ない事態になった。10月8日に一部サービスを復旧したが、完全復旧は10月10日だった。連結売上高が約127億円（2008年12月期）の同社にとって、8日間に及ぶサービス停止は数億円規模の売り上げ損失という大きなダメージにつながった。

不安に包まれる

　大日氏は、「オンラインサービスを始めて8年以上が経つが、この間のシステムに対する投資は顧客サービスの向上と事業拡大を目的に改修の積み重ねで肥大化していった。しかし、セキュリティ面は“基本的に大丈夫だろう”という意識が社内全体に定着していた」と話す。

　同氏によれば、サービス停止につながった不正アクセス攻撃の以前にも、3月と8月にサーバ上での不審な文字列が埋め込まれるSQLインジェクション攻撃を受けた。この時点では脆弱性を解消するためにシステム改修も検討したが、事業への影響や多額のコストがかかるために、IPS（不正侵入防止）システムの導入で対処した。

　「実際にはソースコードを見直そうにも、改修の積み重ねでシステム全体を把握している人間がいなかった。時間的対応も含めてほかに選択肢がなかった」（同氏）

　不正アクセスの疑いは9月30日午前11時ごろに発覚した。顧客あてのメールに意味不明の文字列が挿入され、午後2時半ごろにデータベースが改ざんされていることを確認した。この時点で修正のためにサービスを停止すべきかどうか議論したという。「しかし、どの範囲のサービスを停止するか、顧客への通知をどうするかといった判断基準が何もなかった」（同氏）

　その後、10月2日の深夜にかけて復旧を試みたが、サービスが不安定となる状態が続き、最終的には抜本的な対策を講じるためにサービスの全面停止を決断した。「対処にあたっているシステム部に対して、事業部が復旧できない状況に不安を募らせるなど、暗いムードが社内にまん延した」（同氏）

　10月8日午後までデータベースの修正からPCのセキュリティ検査までを徹底して行い、通信販売以外のサービスを復旧した。全面再開は10月10日未明だった。

　「データベースの改ざんは明らかだが、攻撃者の狙いが本当は何であったかのか今でも分からない。このような事態になると十分に予測ができず、一度陥ると会社への影響は甚大だ」（同氏）