喜屋武 慶大 / Yoshihiro Kyan

喜屋武 慶大 / Yoshihiro Kyan

自己紹介

新卒で入った会社の新卒研修で毎日残ってネットワーク機器の Config を弄ってたり講師のマシンの root を取って遊んでいたらセキュリティの部署に配属される。

SOC(Security Operation Center)でセキュリティ製品のログの分析をしていたり、セキュリティインシデントの初動対応支援などを2年半ほどした後に2018年8月にコインチェックに入社。

エンドポイントからネットワーク、クラウド、Webアプリケーションから監査まで全般のレイヤーのセキュリティをカバー、広く薄く。

ログを眺めながら目grepで無限に時間を潰す。

趣味はドライブと旅行に写真と温泉とコーヒーとお酒。

Tech Blog

2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog

はじめまして、サイバーセキュリティ推進部の喜屋武です。今回は2020年6月に発生したお名前.com上の当社アカウント乗っ取りによる「 coincheck.com」の ドメイン 名ハイジャックのインシデントについて、発覚までの経緯とその後のインシデント対応についてご説明します。 1 発覚までの経緯 1.1 サービスの応答時間の遅延の確認 当社利用のドメイン登録サービス「お名前.com」で発生した事象について(最終報告) | コインチェック株式会社 でもタイムラインを記載しましたが、最初の異変は日頃からモニタリングしているサービスのレスポンスタイムが著しく遅延していたことでした。 この異常を確認し、SRE チームが調査に乗り出しましたがこの段階では他に問題は確認されず、レスポンスが遅延している原因の特定には至っていませんでした。 1.2 他部署やユーザーからの問い合わせ 夕方頃からは他の部署のエンジニアやユーザーからも 「 coincheck.com」 のサイトや API からのレスポンスに時間がかかっているという情報が上がってくるようになりました。ユーザーにも影響が出始めているということで、このタイミングで SRE チームから社内にサービスのレスポンスが遅延していると情報が共有されました。この頃から私も調査に参加しましたが、既に SRE チームの調査によりアプリケーション、サーバー、 ロードバランサーには異常が見つからず、問題の原因は CDN かそれより前のネットワークだろうという見当がつけられていました。 1.3 経路と DNS の異常の確認 この頃から調査にあたっていた SRE チームの中にもサイトのレスポンスが遅いことを確認できるメンバーが出始めました。試しに dig コマンドに trace オプションを付けて名前解決を試みると time out することが確認できはじめていましたが、モニタリング上は DNS についても遅延や名前解決できない等の問題は確認できていませんでした。 手元でレスポンスが遅延するようになったメンバーが試しに traceroute をかけてみたところ次のような結果が返ってきていました。 [~]$ traceroutecoincheck.comtraceroute

2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog

PodCast