マクドナルドの店舗システム障害事象
日本マクドナルドは6月19日、マクドナルド店舗におけるネットワークシステムの一部にマルウェアが確認されたことを明らかにした。
その影響により、全国の店舗においてネットワークの不具合が起き、商品購入時に「dポイント」「楽天ポイント」が、また一部店舗において電子マネー「WAON」「iD」などが利用できない事象が発生しているという。6月20日時点でも復旧はしていない。
出典:https://japan.cnet.com/article/35103028/
「店舗システム」と呼ばれるものがどこかのデータセンタに設置されていて、そのシステムが機能しなくなったようだ。こういったシステムは外部連携の口になるシステムを経由して外部の「dポイント」や「楽天ポイント」のシステムと疎結合で連携している。昔は専用線でこういったシステム連携をするのが常識だったけど、最近はインターネット経由のVPN接続が常識になってきている。
不思議なポイント
- なぜインターネットに通信している?
インターネットにでるシステムについては原則として接続先等を限定してアクセスするようになっているのになぜ起きた?というのが一つ目の謎なポイント。相手先のグローバルIPが変わっていくから特に限定していなかったとかだろうか。あるいは内部から外部への通信制御を行えていなかったか。よくあるのはサーバ側の設定で外部へのアクセスを制限しているケース。これはサーバがクラックされて権限奪取されるとどこへでも通信できるようになってしまう。 - なぜ1週間近く復旧にかかった?
二つ目の謎ポイントは復旧にかかる時間が長期化したこと。ゲートウェイとなるサーバシステムが接続先が異なっても共有されていた場合、全ての接続先に対して「安全になった」ことを認めてもらって接続を受け入れてもらう必要がある。しかし、通常のシステムであればバックアップから復元することで障害前のシステムに戻せるし、差分のログ等は止めたサーバから後で抽出することで対処可能だ。これができないケースは以下になる。
・仮想化されておらず物理的な複製
・ローカルIPアドレスがシステムに埋め込まれている
1つ目は今のご時勢であまり考えられないが、古いシステムだとありえる。某全国展開している会社のシステム基盤がいまだに物理サーバ上で個々に動いていると聞いたことがある。
2つ目は仕事上でよく見る悲劇だ。IPアドレスがどこに埋め込まれているか分からなくなっているのでクラウド移行できないという話がかなりある。
Wannacryにやられた?
いま見えている話を総合するとWannacryに攻撃された可能性は低いと推測。Worm的な拡散はしていないと書かれていることが要因。あとはこういったシステムの連携にあるサーバがトラフィックで死んだのなら、他のシステム停止にも追い込まれてもおかしくないはずだ。他は影響なく、ポイント連携のサーバだけがやられたようなので違うのだろう。
実際は外部への通信が多数でてシステムがとまったということから推測して、何かしらの踏み台等で使われたのではないだろうか。よくあるのはDDoS攻撃の基盤に使われるケース。昔聞いたプリンターのApacheが使われて~という話のようなもの。
今後明らかに?
ポイント間連携のシステムがのっとられたということになると、そのポイント連携システムのログは全て持ち出された可能性がある。このあたりについてはセキュリティ専門会社が入って詳細な調査を行っているだろう。連携先のシステム会社としても、一時的に復旧させているが今後も侵害されないことをどう担保するのか説明を求めているはずだ。
ポイント間連携のシステムは外部インターネット公開のシステムでないこともあり、脆弱性試験の対象とならないことが多い。今後はこういったシステムについても、「VPNだから良い」とはならずに、検査対象となっていくのだろう。