サイバー攻撃を受ける

と言っても私個人にではありません。

２５日の日曜日。
この日は当番出勤で会社に行っていました。
当番での作業は１時間ほどで終わり、帰る前にメールを確認しておこうとグループウェアを開きました。
すると未読メールが100件以上(ﾟДﾟ)
何事だと確認してみると大量のエラーメール。
しかもまだサーバーに受信できていないメールが残っている状態。
とにかくいったん全てのメールを受信してみると500件以上のエラーメール。
これは何かが起こっているとエラーメールを確認してみると、どうやらホームページの問い合わせフォームに実在しないメールアドレスを入力して機械的に連続して問い合わせを実行しているらしい。
これは攻撃を受けている。
エラーメールのタイムスタンプから攻撃が始まってまだ１時間も経っていないものの、これだけのエラーメール。
しかもまだ攻撃が続いており、メールの受信を行うと数百件単位でエラーメールが届いている。
これはすぐ対処しなければ…
ということでさっさと帰ろうと思ったのに急遽対応に入りました。
ちなみに私はシステム管理者をしているので、こういうのは私の仕事です。

とにかくすぐに攻撃を防がなくてはなりません。
すぐ止めるなら攻撃元のIPアドレスをファイアウォールでリジェクトすればいいのですが、以前は社内に公開サーバーを置いていたものの、現在はレンタルサーバーに移行しているのでこの手は使えず。
結局WEBサーバーから問い合わせフォームのファイルを削除して回避しました。
攻撃が始まってから対応まで１時間ほどでしたが、この間に届いていたエラーメールは2000件を超えていました。

こういう攻撃ってシステム管理者が不在の休日に行われることが多いのですが、今回は運良くすぐに対処できました。
気付かずに一晩放っておいたら最悪サーバーが止まっていたかもしれません。
問い合わせメールは他の人にも転送されているため、この日は大量に受信したエラーメールの処理方法の説明文書だけみんなに送って帰りました。

月曜日になってからWEBサーバーのログを確認し、どこからの攻撃か調査しました。
今回の攻撃はアメリカからのものでした。
アメリカからの攻撃は珍しいです。
まー、実際に攻撃を仕掛けたものは別の国の人間でしょうけど。

この件について地元の警察にサイバー攻撃を受けたと報告しました。
警察の方で状況確認のため来社されましたが、攻撃元が海外だと警察としては対処できないとのことで報告だけで終わりました。

その後今回の攻撃方法をログから推察し、対策を始めました。
具体的な事は模倣されるとまずいのでここには書きませんが。

しかし当社のWEBサーバーには個人情報は一切ありませんし、レンタルサーバーなので乗っ取られても会社の機密情報が洩れるわけでもありません。
一体何を目的に攻撃を仕掛けてきたのかわかりません。
ただこんな地方の会社でもサイバー攻撃の標的にはなるんだと思うと、普段からちゃんと対策しておかないとまずいなと思うのでした。