KDDI通信障害はサーバー攻撃の可能性もある?

その他

2022年7月、KDDIでは過去最大規模の通信障害が起こりました。
その原因としては、VoLTE交換機の不具合と言われています。
しかし、ネット上では「サーバー攻撃ではないか?」という意見も多数見られます。
実際に、サーバー攻撃という可能性はあるのでしょうか?
障害の概要と、サーバー攻撃かどうかを解説します。

KDDI通信障害とは?

KDDIでは、7月2日未明から通信障害が発生しました。
そこからおよそ3日にわたり、音声通話やデータ通信が普通、もしくは制限がかかった状態となりました。

KDDIの中でも特に影響を受けたのがau携帯電話やUQmobileで、完全に通信が途切れた状態がかなりの時間続きました。
また、auひかり電話やメタルプラス電話など、固定電話も通じなくなったという人もいます。

今回の障害による影響は、最大で3915万回戦と言われています。
個人のスマホはもちろん、法人契約のスマホや特殊なデータ通信機器など、auの回線を使用する機器は軒並み不通となってしまったのです。

その原因について、KDDIでは新旧の機器入れ替えの影響によるもの、という見解を示しています。
ルーターを入れ替える際に音声トラフィックが15分間不通となったのが、そもそもの原因と考えられるのです。

その不具合が起こったことで切り戻し作業を行ったのですが、その際のルーティング先に設定されたVoLTE交換機に高い負荷がかかったことで、今回の通信障害が起こったのです。

不具合の内容は、音声通話のための交換機と加入者データベースの輻輳、並びにその間のデータが一致しなかったこととされています。
ただし、その機器は全国6か所の拠点にあるのですが、実際に負荷が高まったのはそのうちの1拠点だけでした。

機器は全国で18台あり、拠点間での連携も可能なので性能的には処理できないものではありませんでした。
それなのになぜ負荷が高まるようなことになったのかというと、切り戻し作業によって交換機がカバーしているエリア内のスマホが一斉に再接続を求めたために負荷が一気に高まったのが原因、と言われています。

とはいえ、その際接続は50分に1回の頻度で行われるため、それほど負荷が高まるとは思えません。
利用者がいくら多くても一部のエリアだけであり、事前に行われていたシミュレーションでも問題がない状況と判断されていたのです。

そのため、さらに調査が進められていました。
そして判明したのが、問題の機器18台のうち6台から、加入者データベースへと繰り返し信号が送られていたということです。

その信号によって、機器とデータベースの双方にアクセスが集中することとなり、結果として機器の負荷が高まってしまう状態が継続してしまったのです。
その対処として、7月4日の正午過ぎからはその機器をシステムから切り離す処置が行われました。

そうすることで、残りの機器やデータベースの負荷は軽減されました。
そして、輻輳回避のために無線設備の流量制限を行っていたのですが、それも解除されたことでほぼ回復したのです。

今回は、当該の機器に不具合が起こって過剰な信号を発信したことで、機器の輻輳や加入者データベースの集中的なアクセス、そして双方間のデータが一致しないという不具合の連鎖が生じてしまったのが主な原因となったのではないか、と思われます。

サーバー攻撃の可能性はある?

今回のKDDIの通信障害は、かなりの長期間続いていました。
そのため、ネット上では原因について様々な憶測が出されています。
その中でも特に多いのが、太陽フレアとスターリンク、そしてサーバー攻撃によるものという意見です。

太陽フレアは、太陽の表面上で起こっている爆発現象です。
この現象が活発になると地球上の磁気が乱れ、携帯電話の電波なども乱れて通信が断続的に利用できなくなる、と言われているのです。

しかし、当時は太陽フレア活動が穏やかだったと発表されています。
また、その場合はKDDIに限らずドコモやソフトバンクなどすべての携帯電話が影響を受けるはずなので、この説は否定できるでしょう。

スターリンクは、KDDIがアメリカのSpaceX社と協力してサービスの提供を行っている、高速衛星通信ブロードバンドインターネットサービスです。
このサービスにより、山の中や離島でもauの高速通信が利用できる、というものです。

スターリンクは、2022年を目処に全国1200か所のau基地局のバックホール回線から順次導入していくと発表されています。
また、個人ユーザー向けには東京の一部エリアからちょうど7月以降にサービスを開始する予定となっています。

その切り替えの作業ミスが、通信障害の原因となったのではないかという意見も多数見られます。
しかし、それであればKDDIが隠すことなく発表しているはずなので、これもおそらくは違うでしょう。

そして、ロシアなどからサーバーに対してサイバー攻撃を受けたのではないか、という意見も見られるのです。
これは、直前にリトアニアの事例があったことも信ぴょう性を高めています。

ロシアに対しては、世界各国で物流を制限するなどの経済的な措置が取られています。
バルト3国のリトアニアでも物流を制限しているのですが、そのことについてロシアの「キルネット」というハッカー集団によって、おそらくは激しいサイバー攻撃にさらされているといわれているのです。

そして、キルネットはリトアニアが輸送制限を解除しなかった場合は、500社以上のリトアニア企業を攻撃するとして脅迫しています。
その方法は、DDoSという複数のパソコンから対象のサーバーなどに大量のアクセスを行うことで機能を低下させたりダウンさせたりするというものです。

これは、今回のKDDIの通信障害と近い状態と言えるでしょう。
ただし、キルネットからの声明や脅迫が届いたという話はありません。
そのため、実際にはサーバー攻撃を受けたことで障害が起こった、という可能性は低いでしょう。

ただし、別の集団から声明なしで攻撃されたという可能性もゼロとは言い切れません。
実際の原因については、調査が終わらなければ明らかにはならないでしょう。
KDDIは、原因を究明して再発防止に努めることが求められます。

まとめ

今回のKDDIの通信障害のように、大きな問題が起こった場合は様々な憶測が出てきます。
特に、最近リトアニアで実際にあったサーバー攻撃などの被害は、イメージしやすいため疑われることもあるでしょう。
とはいえ、実際にそのようなことがあれば注意喚起のためにも、すぐに報道されるはずです。
そのため、まずありえないと判断していいでしょう。
原因の真相は、調査が終わるのを待ちましょう。