Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

UPSが火災の原因になる可能性

世界最大級のホスティングプロバイダ―OVHデータセンタの火災原因がUPS電源の故障に関係する可能性があるとの記事が出ていました。

www.bleepingcomputer.com

同社は、火災がデータセンタをダウンさせた正確な原因についてまだ完全な回答を持っていない可能性がありますが、創設者は、その朝に整備された無停電電源装置UPS)ユニットに触れました。


ビデオの中で、クラバは、消防士が敷地内に到着したとき、赤外線カメラで撮影された画像は、UPS7とUPS8の2つのUPSユニットが燃えていることを示していると説明しています。

UPS7は午前中に保守担当者によって整備されていたため、目撃情報は適切です。

Klabaは、UPSサプライヤが同じ朝に来て、UPS7内の多くの部品を交換し、ユニットを再起動したと述べました。

当時、すべてが順調に見え、火災が発生するまで電源バックアップユニットはスムーズに機能していました。

(Bleeping Computer記事より引用)※機械翻訳

 

キタきつねの所感

フランスのストラスブールのOVHデータセンターの1つは全焼した様です。

データセンタと言えば、整然とサーバラックに重要サーバが格納され、24時間監視されていて、火事が起きてもすぐに消火される災害には強いイメージがありますが、必ずしもそうではない様です。

OVHは欧州最大のホスティングプロバイダであり、3/10の大規模火災により、4つの建屋1つ(SBG2)が全焼、別な建屋(SBG1)の一部も損傷を受けた様です。

暗号交換所Derbit(ブログ)、通信会社AFR-IX、ニュースのeeNews Europe、ビデオゲームのRustやMechWarrior Online等も影響を受けた様で、Rustは火災の影響を受けたゲームデータ(25台のサーバ)はデータ復旧が不可能と発表しています。

 

関連動画からは「全焼」の状況が良く分かりますが、この大規模火災の原因が「UPS」だった可能性が高いと聞くと怖いものがあります。

youtu.be

 

 

Bleeping Computer記事の該当部分をもう1度引用しますが、詳細調査はこれからだとしても、UPSユニットが原因である可能性が高い様に思えます。

ビデオの中で、クラバは、消防士が敷地内に到着したとき、赤外線カメラで撮影された画像は、UPS7とUPS8の2つのUPSユニットが燃えていることを示していると説明しています。

UPS7は午前中に保守担当者によって整備されていたため、目撃情報は適切です。

Klabaは、UPSサプライヤが同じ朝に来て、UPS7内の多くの部品を交換し、ユニットを再起動したと述べました。

当時、すべてが順調に見え、火災が発生するまで電源バックアップユニットはスムーズに機能していました。

(Bleeping Computer記事より引用)※機械翻訳

※記事の文章に「UPSユニット」とあるので、UPSは普段から目にする事が多い単体のUPSではなく、(ブレードタイプの)UPS装置群だった可能性を感じます

 

記事内容を素直に読むと、多くのUPS部品を交換とあります。この部品部分は一番怪しそうなのが消耗するUPSのバッテリではないかと想像します。

UPS自体はUPSの特性上、一定量の熱を持つので、このユニット内に可燃物があって火事が広がる原因となった事も考えられますが、データセンタの保守では「そうした初歩的なミス」はしないだろうと思うので、部品異常も十分考えられそうです。

※詳細原因は調査後に出てくるかと思いますが、その内容が分かりましたら、この記事を更新します。

 

少し前にボーイング787のリチウムバッテリから出火するという事件がありましたが、最近のUPS装置は鉛蓄電池ではなくリチウムイオンが(小型装置では)主流かと思いますので、正規部品ではなく、例えばあまり質が良く無い(互換品の?)交換電池等を使ったとしたら、火災リスクにつながる事も考えられるかも知れません。

ボーイング787の2013年出火事件、設計の欠陥原因=米当局 | ロイター

 

1つ引っかかったのが、データセンタの消火設備です。データセンタやサーバルームでは火災等が発生した際の消火設備としてハロゲン(イナージェンガス)などで安全に消火する手順になっている所が多いかと思います。

仮にUPSユニットから出火したとしても、消火ガスによる初期消火が可能だと思うのですが、それが失敗したのだとしたら、その理由も気になる所です。

ストラスブールにある300台のカメラと、抽出し始めたすべてのビデオのおかげで、[火事がどのように始まったかについて]すべての答えが得られることを望んでいます」と創設者は言いました。

(Bleeping Computer記事より引用)※機械翻訳

 

監視カメラのデータは無事だった様ですので、続報が出たら(※正確には出た事に気づけたら・・・)この記事、あるいは別な記事にかけたらと思います。

 

余談です。この事件とはまったく関係がありませんが、先日、某所のリスクアセスメントを行い、「ラック内」に可燃物を見つけて検出事項(参考意見)としました。ラック内はUPS等もあり、火災の原因になる可能性もあるので可燃物はラック内に置かない方がいいですよとコメントしたのですが、その判断は間違ってなかった様です。

 

更に余談です。OVHデータセンタの大規模火災を、セキュリティのプロは「別な視点で見ていた」様です。カスペルスキーの調査分析チーム(GReAT)のCostin Raiu氏はTwitterでOVHの影響により(犯罪者の)「C2サーバ」に影響が出た所を分析しています。※こうした視点もある(重要な)のだと勉強になりました。

securityaffairs.co

サーバーは、イランにリンクされたチャーミングキトンとAPT39グループ、バハムートのサイバー犯罪グループ、ベトナムにリンクされたOceanLotusAPTを含むサイバー犯罪ギャングとAPTグループによって使用されました。

(中略)

「私たちの追跡データによると、コマンドアンドコントロールインフラストラクチャをホストしているISPのトップでは、OVHは9位です。全体として、APTや高度な犯罪グループが使用するすべてのC2の2%未満をホストしており、CHOOPAなどの他のホストよりもはるかに遅れています。」RaiuはTheRegに話しました。

(Security Affair記事より引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 車のバッテリーのイラスト

 

更新履歴

  • 2021年3月14日 PM