ヤフー子会社でレンタルサーバー事業を営むファーストサーバ（大阪市）のサービスにおいて、2012年6月20日にデータ消失を伴う大規模障害が発生した。同社は6月25日午前、ウェブサイトで「大規模障害の概要と原因について（中間報告）」と「大規模障害に関するFAQ」という文書を公開した。

　これらの発表文書によると、障害が発生したのはファーストサーバのサービスのうち、「ビズ／ビズ2／エントリービズ／エンタープライズ3／EC-CUBEクラウドサーバ マネージドクラウド」を利用していた顧客の一部である。障害が発生した顧客のデータは、システム領域のサーバー設定情報やデータベースの情報なども含めたデータが消失した。ファーストサーバは専門業者にデータ復旧を依頼したものの、復旧不可能と判断したという。

　これにより、サーバーを復旧する顧客は、サーバーを最初から再設定して、顧客が手元のパソコンなどに保存しているバックアップデータからデータを復旧することになる。手元のパソコンなどにバックアップデータを持たない顧客に対しては、「お客様にて新しくコンテンツを作成いただくこととなります」と案内している。

■原因は更新プログラムのバグと運用の不備

　ファーストサーバの発表文書では、障害発生の原因について、「（脆弱性対策のための）更新プログラム自体に不具合があったことに加えて、検証環境下での確認による防止機能が十分に働かなかったことと、メンテナンス時のバックアップ仕様の変更が重なり、今回のデータの消失が発生した」と説明している。

　具体的には、今回の障害前に作成した更新プログラムに「ファイル削除コマンドを停止させるための記述漏れ」というバグがあった。この更新プログラムを検証環境で実行するという手順を踏んだにもかかわらず、バグに気づかないまま本番環境で実行された。この結果、意図しないファイル削除が実行されてしまいデータが消失した。

　一般にはこの時点でも、定時バックアップを取得してさえいれば、最新のデータは消失するものの、一定のデータは復旧できるはずだ。実際に、ファーストサーバでも毎朝6時にバックアップを取得していた。

　ところが、ファーストサーバではバックアップ領域にも更新プログラムを同時適用するという運用がなされており、バグのある更新プログラムによって、バックアップ領域でもファイル削除が実行されてしまったという。

■支払額を上限に損害賠償

　ファーストサーバはデータ消失の責任を認めており、「サービス利用契約約款に基づいて、お客様にサービスの対価としてお支払いただいた総額を限度額として、損害賠償させていただきます」としている。一方で、顧客企業のホームページや通販サイトにアクセスできないことなどによる機会損失については、「損害賠償の対象とさせていただく予定はございません」としている。

（ITpro　清嶋直樹）

[ITpro 2012年６月25日掲載]