DoS攻撃を受けたと思われる話

僕が受け持っている大学の授業では、ビジネスの世界におけるコンピュータの使い方やそのシステム設計の考慮点を教える事を目的としているのであるが、そのうち一度はハンズオンと称して実際のビジネス用アプリケーションを学生に触ってもらうことにしている。当然の事ながら担当している製品であるSystem i （現在の正式な名前は「IBM i 搭載パワーシステム」ということになるが、簡略化するためにこう呼んだりしている）を前提にしたアプリケーションである。大学にこのマシンが導入済みであることはまずないので、このようなイベントの都度会社からわざわざ大学に運び込むことになる。また想定しない事象が発生することもままあるので、念のために技術サポート部門から何人かの応援をもらう、という結構手間のかかることをやっている。

事前に十分なテストを行なったつもりであっても、現実はこちらの想定を上回っているのが常である。ブラウザを前提にアプリケーションを稼動させる仕組みにしてあるのだが、昨年はOperaを使った学生がおり、アプリケーションがうまく動いてくれないと苦労していた。そもそも僕らも事前にOperaとの相性を確認したことが一切なかったのである。一方ではログインのIDは「ABCDEFXX」（ただしXXは割り当て済みの2桁の数字）といった具合に資料に明示してあるにも関わらず、「ABCDEFXX」そのままでログインできないと悩む学生がいた。確かにそのようなユーザーIDはセットしていないので無理もない。追加でサポート要員を配備していたが、彼らは非常に多忙であった。

さて今年のハンズオンであるが、サーバーは無事に立ち上がったし、大学内での事前テストも万全である。授業冒頭で要領を説明し、100人近くの学生にいっせいにログインしてもらう。ところがログイン状況を見張っていると、20人足らずが作業を開始したところで、残りの学生がまったく接続不可の状況に陥ってしまった。何度接続を試みても状況は変わらない。原因がわからないので会社の技術者に大至急調査してもらう。学生側は実習にならないので手持ち無沙汰になっている。システムの状況をモニターすると、全員がサーバーに接続しても100セッションもないはずなのに、サーバーへの接続要求数は100を超えている。余計な接続要求を消しこむのだが、その分また新たな接続要求が舞い込んでくる。再度スレッド数を300に増やしてHTTPサーバーを再立ち上げしても、さらに多くの接続要求が舞い込んでくるという具合である。サーバーは自己防御機能を発揮して、HTTPサーバー機能を減速させている。結局ハンズオンが成立せず、アプリケーションの動作をデモで見せて解説するに留まってしまった。

一時的にサーバーを持ち込んだに過ぎないので、きちんとサーバーを守る仕組みを構築しなかったなど状況は色々と考えられるのかもしれない。いずれにせよこれはDoS攻撃を仕掛けられていたというのが結論であった。授業の最後はネットワークの状況を説明して、皆にウィルス・スキャン勧めて締めくくりである。数人がかりで準備を行い、ハンズオンのサポートに臨んだのであるが、何ともすっきりとしない幕切れに終わった。授業後に大学のネットワーク管理者に状況報告を行なっておいたのは言うまでもない。