2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog
はじめまして、サイバーセキュリティ推進部の喜屋武です。今回は2020年6月に発生したお名前.com上の当社アカウント乗っ取りによる「 coincheck.com」の ドメイン 名ハイジャックのインシデントについて、発覚までの経緯とその後のインシデント対応についてご説明します。 1 発覚までの経緯 1.1 サービスの応答時間の遅延の確認 当社利用のドメイン登録サービス「お名前.com」で発生した事象について(最終報告) | コインチェック株式会社 でもタイムラインを記載しましたが、最初の異変は日頃からモニタリングしているサービスのレスポンスタイムが著しく遅延していたことでした。 この異常を確認し、SRE チームが調査に乗り出しましたがこの段階では他に問題は確認されず、レスポンスが遅延している原因の特定には至っていませんでした。 1.2 他部署やユーザーからの問い合わせ 夕方頃からは他の部署のエンジニアやユーザーからも 「 coincheck.com」 のサイトや API からのレスポンスに時間がかかっているという情報が上がってくるようになりました。ユーザーにも影響が出始めているということで、このタイミングで SRE チームから社内にサービスのレスポンスが遅延していると情報が共有されました。この頃から私も調査に参加しましたが、既に SRE チームの調査によりアプリケーション、サーバー、 ロードバランサーには異常が見つからず、問題の原因は CDN かそれより前のネットワークだろうという見当がつけられていました。 1.3 経路と DNS の異常の確認 この頃から調査にあたっていた SRE チームの中にもサイトのレスポンスが遅いことを確認できるメンバーが出始めました。試しに dig コマンドに trace オプションを付けて名前解決を試みると time out することが確認できはじめていましたが、モニタリング上は DNS についても遅延や名前解決できない等の問題は確認できていませんでした。 手元でレスポンスが遅延するようになったメンバーが試しに traceroute をかけてみたところ次のような結果が返ってきていました。 [~]$ traceroutecoincheck.comtraceroute