piyolog

マイネットへの不正アクセスについてまとめてみた

インシデントまとめ | 03:52 |

2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。

ここでは関連情報をまとめます。

公式発表

• 2018年3月2日 マイネットグループが運営する一部ゲームタイトルのサーバー障害のお知らせとお詫び（3/4 17:30更新 ）
• 2018年3月5日 当社サーバーへの不正アクセスの発生と対応について
• 2018年3月5日 （3/10 11:10更新）当社サーバーへの不正アクセスによる一部運営ゲームタイトル障害発生のお知らせとお詫び
• 2018年3月15日 （3/22 16:00更新）当社サーバーへの不正アクセスによる一部運営ゲームタイトル障害発生のお知らせとお詫び
• 2018年3月23日 当社サーバーへの不正アクセスに関する概要、経緯及びサービス再開状況
• 2018年3月26日 当社サーバーへの不正アクセスに関する中間報告書

（公式発表の一部は更新が適宜行われているため、最初に公開された日付を記載しています。）

インシデントタイムライン

日付	出来事
2018年3月1日 11時頃	何者かがマイネットの内部ネットワークへ侵入し、サーバーへ不正アクセス。 サーバー上のデータ削除スクリプトを実行。（1回目の不正アクセス）
〃 11時40分	マイネットシステム部門の担当者がサーバーから発出されたアラートを検知。 また同タイミングにて複数サービスにてシステム障害の発生を確認。
〃 12時頃	マイネットのゲームサービス13個でシステム障害が発生。
〃 13時00分頃	影響が確認されたサービスを緊急メンテナンスへ順次移行を開始。
〃 13時10分頃	障害発生が確認されたサーバーが稼動している都内データセンターで調査を開始
〃 14時00分頃	都内データセンター内のサーバーで異常が無いことを確認。
〃 19時00分頃	不正アクセスに利用されたと見られるサーバーの特権IDでサーバーのデータを削除するスクリプトを発見。 サーバーのログインパスワードの変更を実施。
〃 19時30分頃	サービス影響が確認されていないタイトルから順次再開
2018年3月2日 1時頃まで	マイネットが影響が出たタイトル7つを再開。
〃 3時30分頃まで	マイネットが影響が出たタイトル2つを再開。（合計9個が再開。)
2018年3月3日 0時頃	マイネットが影響が出た残りのタイトルを再開。(合計12個が再開。）
〃 17時30分頃	何者かがVPN経由でマイネットのサーバーへ不正アクセス。データ削除コマンドを実行。(2回目の不正アクセス)
〃 17時40分頃	マイネットのサービス担当者がサーバーのデータベースが消失していることを確認。
〃 19時頃	マイネットが複数のサービスにて不具合の発生を確認。
〃 同じ頃	調査の結果、同一IPアドレスから複数アカウントでVPN へのアクセスおよびサーバーへのログインが確認された。 対象のVPNアカウント及びVPN自体を全て停止。
〃 19時30分頃	マイネットが当該事案が不正アクセスの可能性が高いと判断。 不正アクセスされたサーバーと類似環境にて運営中のサービス停止を決定。
〃 同じ頃	緊急対策チームの組成を実施。初動対応に着手。
2018年3月4日 1時頃	マイネットが3日18時頃から複数タイトルで障害が発生していると発表。
〃 21時45分	マイネットが警察へ通報。
2018年3月7日以降	マイネットがサービスの再開作業を開始。
2018年3月15日 15時00分頃	マイネットがサービス3つを再開。
2018年3月16日 12時30分頃	マイネットがサービス1つを再開。（合計4個が再開。)
2018年3月19日 12時00分頃	マイネットがサービス2つを再開。（合計6個が再開。)
2018年3月19日 15時00分頃	マイネットがサービス1つを再開。（合計7個が再開。)
2018年3月20日 17時00分頃	マイネットがサービス2つを再開。（合計9個が再開。)
2018年3月20日 19時00分頃	マイネットがサービス2つを再開。（合計11個が再開。)
2018年3月22日 12時00分頃	マイネットがサービス1つを再開。（合計12個が再開。)
2018年3月22日 15時00分頃	マイネットがサービス1つを再開。（合計13個が再開。)
2018年3月26日	マイネットが同社サービスへの不正アクセスの中間調査報告書を公開。

被害の状況

不正アクセスの概要

• 中間報告書などをもとに起こしたイメージ図は次の通り。

システム障害が発生したサービス

• 全部で13のタイトル、（サービス数単位で30個）で不正アクセス、及びマイネットの緊急メンテナンスにおいてサービスが停止する障害が発生した。

No	タイトル名	稼働環境	稼働状況
1	天下統一オンライン	Mobage	3月15日15時頃再開
2	〃	GREE	3月15日15時頃再開
3	〃	dゲーム	3月22日15時頃再開
4	タイトル（タイトル名非公開）＜海外地域＞	不明	3月15日15時頃再開
5	〃 ＜国内地域＞	不明	3月23日16時時点で停止中
6	熱血硬派くにおバトル	Mobage	3月16日12時30分頃再開
7	HUNTER×HUNTER バトルコレクション＜ForGroove 提供＞	Mobage	3月19日12時頃再開
8	〃	Ameba	3月23日16時時点で停止中
9	〃	dゲーム	3月23日16時時点で停止中
10	HUNTER×HUNTER アドバンスコレクション＜ForGroove 提供＞	Yahoo!モバゲー	3月19日12時頃再開
11	HUNTER×HUNTER トリプルスターコレクション＜ForGroove 提供＞	GREE	3月22日12時頃再開
12	究極×進化!戦国ブレイク	Yahoo!モバゲー	3月19日15時頃再開
13	ラグナブレイク・サーガ	Yahoo!モバゲー	3月20日17時頃再開
14	〃	DMM GAMES	3月20日17時頃再開
15	アヴァロン Ω	Android	3月20日19時頃再開
16	〃	iOS	3月20日19時頃再開
17	アヴァロンの騎士	dゲーム	3月23日16時時点で停止中
18	〃	GREE	3月23日16時時点で停止中
19	〃	Mobage	3月23日16時時点で停止中
20	神魔×継承！ラグナブレイク	Ameba	3月23日16時時点で停止中
21	〃	dゲーム	3月23日16時時点で停止中
22	〃	GREE	3月23日16時時点で停止中
23	〃	mixi	3月23日16時時点で停止中
24	〃	Mobage	3月23日16時時点で停止中
25	ファイナルファンタジー グランドマスターズ＜スクウェア・エニックス提供＞	Android	3月23日16時時点で停止中
26	〃	iOS	3月23日16時時点で停止中
27	ミリオンアーサー エクスタシス	dゲーム	3月23日16時時点で停止中
28	〃	GREE	3月23日16時時点で停止中
29	〃	Mobage	3月23日16時時点で停止中
30	〃	コロプラ	3月23日16時時点で停止中

マイネットのサービス再開基準

• ユーザーデータの保全強化策の完了
• 2018年3月26日時点で考えうるセキュリティ作業の完了
• 社外ステークホルダーの承諾

その他関連する情報

• 不正アクセス元から金銭の要求などは行われていない。
• クレジットカード情報はマイネットは保有しておらず、情報漏えいの恐れはない。
• ブラウザタイトル版以外のサービスはメールアドレス情報を保存しているが流出は確認されていない。

マイネットのサーバーが不正アクセスを受けた原因

• 何者かが次のマイネットのクレデンシャル情報を盗み、不正アクセスを行ったため。

窃取されたとみられるクレデンシャル	盗んだ方法
ビジネスチャットツール(5アカウント)	中間報告の段階では判明せず
VPNアカウント	運用担当者間でビジネスチャット上でID、PWのやり取りが行われていた。 これが盗み見られた可能性がある。*1
グループウェアアカウント	中間報告の段階では判明せず
グループ内のActive Directory	中間報告の段階では判明せず

不正アクセスで確認された行為

何者かが行った不正アクセス行為は以下の通り。

2018年3月1日	特権IDを用いてデータを削除するスクリプトを実行。
2018年3月3日	データ削除コマンドを実行。

マイネットが行った対処内容

初動対応	原因の調査 ユーザーのゲームデータの保全 開発環境の復旧 サービス再開に必要なセキュリティ対策の実施 他タイトルへの影響調査
復旧対応	サービス再開に必要なセキュリティ対策 データ保全方法の強化 サーバーの復旧 一部データの復元 など
再発防止	抜本的な情報セキュリティ強化対策を取るプロジェクトの立ち上げ 外部の専門アドバイザー等の再発防止への取り組み 追加で調査必要と判断した場合は、第三者による調査等の検討

更新履歴

• 2018年3月27日 AM 新規作成