ある日突然、自社ドメインが乗っ取られた――“原因も手口も不明”の攻撃に、セキュリティチームはどう立ち向かったか：実録、本当にあったインシデントの話

レスポンスの“小さな異常”を探ったら、自社ドメインが乗っ取られていた――。そんな攻撃があったことを公表したのがコインチェックだ。マルウェア攻撃でもパスワードクラックでもなく「攻撃者の手口も原因も分からない」状態から、担当者はどうやってドメインを奪い返し、被害拡大を防いだのか。

[宮田健，ITmedia]

　2020年6月、仮想通貨取引所「Coincheck」を運営するコインチェックのコーポレートサイトに、あるセキュリティインシデントの報告書が掲載された。当時、重要な事例として筆者のセキュリティ連載「半径300メートルのIT」でも取り上げたことから、記憶に残っている読者もいるのではないだろうか。

　インシデントのあらましを簡単に説明しよう。これは、コインチェックが利用する外部のドメイン登録サービスにおいて、コインチェックのネームサーバ（DNS）情報が、何者かに書き換えられたものだ。これにより、同社のドメインのレコードが偽のDNSに登録され、同社にメールで問い合わせた顧客のメールアドレスと本文が第三者に流出する可能性があった。コインチェックはインシデント発生後、対応についてのレポートを公開するとともに、利用するドメイン登録サービスを変更したと発表した。

　このインシデントは、一般に「不正アクセス」という言葉から連想する事件とは異なり、一見地味な印象を受けてもおかしくないものだ。しかし、報告書には、セキュリティ担当者ならば誰でも青ざめるような展開が赤裸々につづられていた。

コインチェックによるインシデントの第1報（出典：コインチェック）

　ITmedia エンタープライズ編集部は、実際に同社でインシデント対応に当たった喜屋武 慶大氏（サイバーセキュリティ推進部長）に講演を依頼。2020年9月に開催したオンラインイベント「ITmedia Security Week 秋 - ITmedia エンタープライズ」の特別講演として、当時の様子を当事者の目線で振りかえってもらった。その内容は、セキュリティ担当者だけでなく組織でITに関わる人ならば誰もが非常に参考になるものだった。本稿は喜屋武氏の講演の内容をレポートする（注）。

注：本稿はITmedia エンタープライズ主催「ITmedia Security Week 秋」の講演「ドメインが乗っ取られた！！そのとき我々はどう対応したか」を基に再構成した。

　読者の皆さんには「自分がもしもセキュリティ担当者なら、気付くことができただろうか」と問いかけながら、目を通していただきたい。

2020年6月1日正午ごろ：「何かがおかしい」という報告から全てが始まった

　その日（インシデント発生当日）、最初に違和感に気付いたのは、社内のSRE（Site Reliability Engineering：サイト信頼性エンジニアリング）チームだった。

「ITmedia Security Week 秋 - ITmedia エンタープライズ」に登壇し、インシデント対応の様子を語ったコインチェックの喜屋武 慶大氏（サイバーセキュリティ推進部長）

　2020年6月1日正午ごろ、コインチェックで通常の監視業務に当たっていたSREチームは、普段と異なる状況を察知した。前日に比べて自社サービスに対するリクエスト数が異常に少なかったのだ。

　「『何かがおかしい。怖い』という報告が、SREチームから社内で使う『Slack』のワークスペースに上がってきた。それが発端だった」（喜屋武氏）

　SREチームはまず、リクエスト数の激減以外にも何か異常がないかどうかをチェックした。すると、前日の5月31日を境にサービスのレスポンスタイムが遅延していることが分かった。「この時点では誰もDNSの書き換えという結論は想像していなかった」と喜屋武氏は振り返る。

　「Slackでのやりとりをはた目で見ながら『何か障害でも起きたのだろう、あとで共有してもらえばいい』と思っていた」（喜屋武氏）

リクエスト数が減少し、レスポンスタイムが遅延していたことが、インシデント検知につながった（出典：コインチェック）

　この違和感をきっかけに、SREチームは本格的な調査に乗り出した。しかし原因はなかなか見つからない。アプリケーションには異常がなく、サーバもロードバランサーも問題がないように見える。ただし、喜屋武氏によれば、ユーザーの感覚としては普段と変わらないように見えても、モニタリングダッシュボードに示されるレスポンスタイムはどんどん遅延していったという。リクエスト数は減っているにもかかわらずだ。

6月1日午後：レスポンス遅延が悪化　「障害ではなく、攻撃だ」と気付いたきっかけ

事例記事ランキング

• 本日
• 週間
• 月間

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. サンリオの「キティちゃん」を支えるデータベースのチカラ
3. 名古屋医療センター、DB統合機能を持つWeb型電子カルテシステムを導入
4. デジタル化で貴重な絵画を後世へ、レプリカだらけの美術展に行ってきた
5. 先生もびっくり？　中学1年の意外なiPadの使い方

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
4. サンリオの「キティちゃん」を支えるデータベースのチカラ
5. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
5. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル