パスワードを忘れた? アカウント作成
10996126 story
インターネット

GMOクラウド、利用者に対し「無自覚に第三者にDDoS攻撃させた」として利用停止を宣告する 77

ストーリー by hylom
GMOクラウドのサーバーに対してはDDoS攻撃がものすごく有効なようです 部門より
あるAnonymous Coward 曰く、

GMOクラウドが運営する「GMOクラウドPublic」というクラウドサービスでホスティングされていたサーバーがDDoS攻撃を受けたそうだ。ここまでは珍しい話でも無いが、このサーバーを管理していたユーザーに対し、GMOクラウド側はドメイン変更を求めるとともに、ドメインを変更しない場合はサービスを提供できないと宣告したという(DDoS攻撃されたらそこで試合終了!? レンサバから利用停止を宣告される前にできる8つの対策)。

GMOクラウド側はDDoS攻撃を受けたユーザーに対し、IPアドレスの再割り当てを要求。管理者側はこれに応じてIPアドレスを変更したもののDDoS攻撃は収まらなかったため、続いてGMOは「ドメインを変更しろ」と主張したという。さらに、「(DDoS攻撃を受けることは)不正アクセスだ」「無自覚に第三者にDDoS攻撃をさせた」などと主張、サービス停止処置を行ったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年05月22日 18時27分 (#2606768)

    Tor Hidden Wikiに乗ってるDDoSサービスにBitcoin払いで頼むだけと聞くので、DDoS対策は必須ですねぇ。
    従量制のところとか大丈夫なのだろうか…?

    # Google App EngineのサイトがGoogle Botのアクセスだけでクオータ上限に達して、Google Webmaster Toolsがエラーを知らせてきたのでAC

  • ホスディングサイトは全て停止するということですかね

    それにしてもドメインの変更を要求するってのは厳しいな。
    上位で対応が出来ないのであればいつでも引越し出来るような作りにするか負荷分散とか経路設計出来るサービスとかにしとかないと対処出来ないな。

    • なるほど。
      ホスティングサイトを潰す攻撃のように見えて、実はGMO自体を潰す作戦なんですな。
      今は違うかも知れないけど、そのうちGMO憎しでやっちゃう人でてきそう。

      親コメント
    • by Anonymous Coward

      DDoSだと対応難しいからなぁ

      単にDoSなら何らかの手があると思うけど
      攻撃元が特定出来れば、業務妨害で訴えることも出来るかもしれないけど
      簡単に特定できるとは限らないからなぁ(今流行?のリモート操作とかあるかも知れないし)

      • by Anonymous Coward

        今流行なのは、リモート操作じゃなくてDNS Ampですよ。

  • by Anonymous Coward on 2014年05月22日 22時06分 (#2606961)

    ビックサイトで「Japan IT Week」やってて、出展していたからブースで色々聞いちゃう人たちが出て、現場が問い合わせDDoSで苦労したんだろうなぁ。

    企業利用でDDoS食らっても「ドメイン変えろ」って言うのかなぁ? その企業が発言力がでかくて「GMOクラウドとある会社でDDoS対応で酷い目にあったので、『DDoS攻撃にも上位で対抗するので問題ありません』と言われて乗換ました」なんて採用事例出されたらどうするんだろう?

    ※っつーか、俺が上司なら部下に対応問い合わせさせる。個々の事例によるって言われたら「DDoSでドメイン変えろという話題が出ているが、同じようにうちが攻撃されたドメイン変えろと言うのか?」文章で回答求めさせる。

    • 多分もうこれで普通の企業はこちらを利用しないからOKなのかも。

      親コメント
    • by Anonymous Coward on 2014年05月22日 23時11分 (#2607006)

      曖昧に回答→「そんな回答しかできないなら止めるぞ」→「どうぞどうぞ」

      俺がGMOならこうするわ、きっと。

      親コメント
    • by Anonymous Coward

      要は、攻撃を食らったら即引っ越しするなりサイトを潰せるのでなければ
      GMOは使うなってGMOが事実上言ってることでしょ。

      Amazon EC2 でもさくらのクラウドでも、DDoS食ったぐらいで
      即出て行けとか言われないですよ。公開しているIPは(遮断されて)
      使えなくなっちゃうのでDDoS 中に ssh で入りたいなら
      複数の Public IP を前もって割り当てて裏口を作っておく必要は
      あるかと思いますが。

  • ルータ(御家庭用の安いヤツ)が検出してくれるから自覚してるけど,私の努力で止めさせることが出来るかしら?
    • by Anonymous Coward on 2014年05月23日 2時09分 (#2607078)

      自宅なら ping に応答しないようにするだけでもほとんど来なくならないか?

      親コメント
    • by Anonymous Coward

      単なるスキャンをDoSと思い込んでいないか?

      • by Earny (18051) on 2014年05月23日 8時31分 (#2607143)
        それだけではないけど,こんな感じ。
        [DoS Attack: SYN/ACK Scan] from source: 178.32.167.8
        [DoS Attack: ACK Scan] from source: 222.171.176.82
        [DoS Attack: TCP/UDP Chargen] from source: 74.82.47.49
        [DoS Attack: RST Scan] from source: 111.161.23.109
        [DoS Attack: ACK Scan] from source: 202.112.38.190
        [DoS Attack: ACK Scan] from source: 218.26.181.227
        [DoS Attack: ACK Scan] from source: 59.49.25.66
        [DoS Attack: ACK Scan] from source: 42.104.61.203
        [DoS Attack: IP Spoofing] from source: 192.168.1.2
        [DoS Attack: SYN/ACK Scan] from source: 37.59.252.171
        [DoS Attack: RST Scan] from source: 41.74.76.211
        [DoS Attack: SYN/ACK Scan] from source: 198.50.176.209
        [DoS Attack: ACK Scan] from source: 125.39.174.34
        [DoS Attack: ACK Scan] from source: 111.161.1.98
        [DoS Attack: ACK Scan] from source: 111.161.1.34
        [DoS Attack: ACK Scan] from source: 118.186.135.98
        [DoS Attack: SYN/ACK Scan] from source: 178.20.231.2
        [DoS Attack: SYN/ACK Scan] from source: 198.50.176.209
        [DoS Attack: IP Spoofing] from source: 192.168.1.21
        [DoS Attack: IP Spoofing] from source: 192.168.1.7
        [DoS Attack: ACK Scan] from source: 103.25.13.18
        [DoS Attack: ACK Scan] from source: 103.25.13.18
        [DoS Attack: IP Spoofing] from source: 192.168.1.4
        [DoS Attack: IP Spoofing] from source: 192.168.1.2
        親コメント
  • 今回は、弱者に責任と対策を押しつけてコスト削減なんでしょうが、
    利益率の薄い(リソースを食う)、かつ、立場の弱い(個人等)に退場いただく手段としての自演(?)DDoSだったらいやですね
  • by Anonymous Coward on 2014年05月22日 18時21分 (#2606763)

    詳細がわからないので何とも言えないけど、IPアドレスを変更して駄目だということは
    そのドメインが狙われていると考えるのは間違いではないけど・・・ドメインの変更はなるべくやりたくないのもわかる。

    でも、この人ドメイン名に何やらこだわり強すぎのような気も
    そこらへんに原因がありそうな気もするけど・・・

    まぁ公表出来ないドメインであることは確かなので、そういうサービスをしてたのかな?
    SEOやリスティングなど(フィッシング?)いろいろやってたんだろうね。

    • by Anonymous Coward on 2014年05月22日 18時50分 (#2606787)

      >ドメイン名に何やらこだわり強すぎ
      あなたの解釈違いだと思います。
      ドメイン名を変更しても解決にはならないのではないか、とGMO上司と会話していますよね。
      解決にならない対策をする意味があるのかというのがポイントだと思いますよ。

      親コメント
    • by Anonymous Coward

      犯罪の被害者が、犯罪にあったときに不要な情報まで開示する義務はないし
      開示されなかったと言うその一点だけで根拠もなく妄想して批判する奴は例外なくクズ

    • by Anonymous Coward

      いや普通に顧客名義のドメインに対してサーバ管理等任されている業務であれば、
      普通はブログなんかで公表しないでしょう。

      個人でやってるサイトなら問題ないでしょうが。

    • by Anonymous Coward

      こだわりも何もサービスのドメイン名変えるって事業止めますってのとほぼ同義だろ? 偽サイトとして検索から弾かれることも
      有り得るし、そもそも相手はサービスを狙ってくるんだからドメインを何度変えても被害者が店たたむまで続ける
      誘拐事件で身代金を満額すぐに払いましょうっていうのと変わらん

  • この辺、並列比較的なデータがあれば「クラウドサーバー選択はココで決まる!」って記事になってGMOクラウドが大きく差がつけられる(差を付けられるというプラス面ではなく差が付けられるというマイナス面)で評価されるでしょうね。

    まあ、コマーシャルベースの記事だとクレームとか広告局からの圧力で実現しないでしょうけどwwww

    ※今回のはSYN flood攻撃だから、それをユーザー側で設定管理できない or 運営が止めなきゃ出てくしかないよね。

    • by Anonymous Coward

      今のところ
      AWS>>>>>GMOクラウド
      なのだけはまちがいない

      • by Anonymous Coward

        DDoS攻撃で必要になった通信分を全て集金できる AWS と比べるのは可哀想でしょ

        • 例えばEC2の場合、インターネットからのデータ受信は $0.00 /GB ですよ。

          親コメント
          • DDoSで大量にアクセスさせれば高額請求可能だろうな。
            AWS側で「DDoSによる送信だから請求しません」という処置がされるならともかく。

            話を戻すと、DDoSを防ぐにはTier1くらいのプロバイダの協力が必要だから、GMOがどの程度の業者か知らないが、ホスティング会社程度の力しかないならDDoSから顧客を守ることは出来ないと思う。
            その場合、「残念ながら、うちではお客様のサーバを安全に保守することができないので、他を探してください」ってことになる。

            これはホスティングというか、IT関連以外でも同じだよね。

            例えば、右翼がターゲットにした個人の自宅に大勢で押しかけ、大音響で抗議活動をした結果、警察は見てるだけで止めることもせず、ターゲットとなった一般市民は引っ越しを余儀なくされるという事例のように。

            親コメント
          • by Anonymous Coward

            それでも今回の件はSYN floodなんだから、サーバーから送ったACKパケット分の費用は請求されるよね

  • by Anonymous Coward on 2014年05月22日 18時45分 (#2606784)

    別に顧客がDDOS受けようが構わないだろ。
    それも含めて商売だろうに何やってんだ。
    仮想ホスティング系なら正々堂々と、消費したリソースでお金取ればいい。

    しかも今時SYN Flood対策も出来ませんなんて、良く言えたものだ。
    さっさと過当競争でご退場願おう。

    • by Anonymous Coward on 2014年05月22日 19時07分 (#2606798)

      良くあるパターンは、DDoS攻撃側が攻撃を止めるための身代金を要求する、というものです。
      ホスティング提供側が消費したリソースで高い料金を取ると、攻撃を止めさせるために身代金を払う利用者が増えて、DDoS攻撃者のインセンティブが増します。
      それによってDDoS攻撃が増えると、ホスティング提供側は自分を苦しめることになります。

      親コメント
    • by adew_w (18109) on 2014年05月22日 22時12分 (#2606966)

      DDoS攻撃を舐めないですか?
      今回は違うっぽいですが,今時帯域なら数Gbps強のDDoS攻撃なんて簡単に作り出せるんですよ?
      そんなんをお客さんに転嫁したらお客さん火の車ですよ.

      たかだか数千円のサービスでそこまでコストをかけれるとお思いかな?

      親コメント
    • by Anonymous Coward

      >今時SYN Flood対策も出来ません
      ネットワーク機器はそこまで詳しくはないのだけど、SYNパケット制限機能すらないルーターってよほど低価格のルーターなのかな?

      • by adew_w (18109) on 2014年05月22日 22時02分 (#2606957)

        普通ルータで制限するような機能は大手では使いません.
        トラフィック量的に無理がありますから.

        ネットワーク機器上でsFlowなんかを吐かせた上で,DDoSディテクタを使って検知を行いDDoSが発生した場合は該当IPセグメント丸ごとDDoS対策機器に経路を向けて正常な通信とDDoS攻撃を振り分けたりしてます.

        ただ,DDoS攻撃と思われる通信を検知した時点でDDoS対策機器の方に経路を振り替えて,Proxyを行うので,そのたびにソースIPがDDoS対策機器に変わるのが玉に瑕ではありますが.

        今回はどうかわかりませんけど,帯域を食いつぶす系のDDoS攻撃の場合はIPを変えるのはMUSTで,それでも解決しない場合は出ていってもらうのが普通だと思います.昨今のVPSの値段では,まかないきれないぐらいトランジット料金も馬鹿にならないですし.

        親コメント
      • by Anonymous Coward on 2014年05月22日 19時16分 (#2606803)

        メインのドメインを運用したいのであれば、IDSなりDDoSに耐えうる機材・機器(GMOの方曰く数千万円する機材とのこと)を自分で導入して外部で運用したらどうか

        GMO曰く数千万する機材じゃないとついてないそうですよ
        https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/DDoS_Inspection.pdf [npa.go.jp]
        警察庁も推奨してますけど、数千万する機材買えとか警察庁はきちくだなー(棒

        親コメント
        • by Anonymous Coward

          今回発生した規模をさばけるのだと高額とか?
          まずはどの程度の規模だったのか提示してくれないとなぁ

      • by Anonymous Coward on 2014年05月22日 19時19分 (#2606806)

        自己レスだけど、元ネタの人iptablesでSYN flood対策してるみたいなのだがこの対策は役に立たなかったということなのだろうか
        http://qiita.com/suin/items/5c4e21fa284497782f71 [qiita.com]

        親コメント
        • by Anonymous Coward on 2014年05月22日 19時29分 (#2606809)

          ソースアドレスがランダマイズされてると、hashlimitだけじゃダメなはず。
          しかし、そもそも、synfloodは帯域やルーターのバッファを埋めることが目的とされるので、
          サーバーだけじゃどうしようもないでしょう。

          親コメント
    • by Anonymous Coward

      よく考えてみたら、意外と良心的かもしれない。

      金も能力も無い以上、GMOクラウドには打つ手が無いし、他社の良サービスに引っ越してもらうのが、一番ユーザの為を思った行動かもしれない。
      だって、わざわざ謙って、「自分とこはSYN Floodに対応出来ない」っていう弱点までさらしながら、馬鹿を演じて愛想つかして引っ越すように促してくれたんでしょ?

      他の顧客は、今後この脅威にさらされるけど、このユーザだけは「今のうちに逃げるんだ」って教えて貰った訳だし。

    • by Anonymous Coward

      国内では少ないんだけど、国外サーバーは固定+転送量課金が多いですよね。

      DDOS攻撃でもトラフィックって上がるもんなんですかね…

      • by Anonymous Coward

        最近だと,DNSだったりNTPだったりのReflection攻撃の方がSYN-flood系の攻撃よりも多かったりします.そのため,帯域を滅茶苦茶消費します.
        数Gbpsは結構普通に来るように最近はなりました.

        多分お手軽簡単で世界中にReflectionできるサーバが居るからなんでしょうね…….

        わざわざSYN-floodを使ってかつIP変えても追っかけてくるってことはピンポイントで狙われる何かがあるんでしょうけどね…….

  • by Anonymous Coward on 2014年05月22日 19時21分 (#2606807)

    単に法務のつくった規約が不適切で現場が無理矢理な説明を二転三転しただけなような。
    対処不能な規模のDDoSを受けたら近隣ユーザーへの影響を防ぐためにサービス停止、最悪解約、というのはごく普通な対応と思う。提供側は無限にコストかけろ、っていうのは無茶だし。

    記事に攻撃の規模が書かれてないので本当のところはわからないけれど、記事の人みたいに定期的に攻撃されるなら直接DDoSフィルタサービス契約するしか無いんじゃなかろうか?

    • by Anonymous Coward

      攻撃中のサービスの一時的停止(DDoSパケットの吸い込み)は仕方ないにせよ、解約はありえないかと。
      そんなことしたら、攻撃者はターゲットに対し身代金要求しやすくなり、インセンティブが上がって、攻撃が増えてしまいます。

  • by Anonymous Coward on 2014年05月22日 20時00分 (#2606834)

    ドメイン変更して解決する可能性が低い位、GMOの人も分かってますよ。

    つまり、攻撃が止むまでドメインを変更し続けるのが、GMOのDDoS対策のようでした。

    じゃなくて。サイトが出ていくまでドメイン変更を要求し続けますって事でしょう。

    GMO上司「弊社で把握をしている範囲での回答となりますが、ドメイン変更による対処は過去ございません。しかしながら、Dos攻撃による同事例は過去にもあり、その都度対象となるお客様へ今回のような対応依頼を行っております。」

    が答えじゃないですか。今までドメイン変えるように要請したサイトは全て変更せずに出ていきました。だからあなたも早く出て行ってください。
    という事でしょう。この人もイラついているみたいですが、GMO上司さんも相当イラついていたんじゃないですかね?(笑)

    # GMO使ってる時点でどんな非常識な対応も想定しておくべきかなぁ

    • by Anonymous Coward

      自社都合で相手との契約を切りたいが、契約を切ったことで発生する諸費用を負担したくないと言う様な輩の空気なんぞ読む必要は無い。

  • GMOがDDoS喰らわねーかなー(不謹慎)

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...