DDoS攻撃を知らせてくれた猫
- 筆者がスタートアップで働いていた当時、正式なオンコールローテーションはなかった
- オンコールはつらい仕事なので、意図的に設けていなかった
- その代わり、チーム全員で緊急アラートに注意を払っていた
- ある日、午前3時ごろに猫が筆者の頭をグルーミングしたため目が覚めた
- 猫のグルーミング自体は珍しくなかったが、寝ている間にそうしたのは9年で初めてだった
- 携帯電話を確認すると、数分前にAWS CloudWatchの警告が発生していたことが分かった
- ロードバランサーの異常なターゲットに関する警告だった
- 会社のWebサイトにアクセスできなかったため、監視ダッシュボードを確認した
- 多数のIPアドレスから大量のリクエストが来ており、その大半は海外IPだった
- 会社の製品は米国内でしか利用できなかったため、海外トラフィックは通常ではなかった
- 分散型サービス拒否(DDoS)攻撃だと気付いた
- 最初はサーバーレベルでIPアドレスをブロックしようとしたが、AWS WAF(Web Application Firewall)がすでに設定されていたことを思い出した
- その場の障害対応として、他国からのリクエストを遮断するルールを設定した
- この対応で数十万件のリクエストがブロックされ、Webサイトは再び動き始めた
- 後になって、攻撃が始まった時刻にカスタマーサポート用メールアドレスへメッセージが届いていたことを見つけた
- 差出人はひどい文法で、使ってもいないApacheを落とせるWebサイトの脆弱性を発見したと主張していた
- 5,000ドル分のビットコインを送れば「ソリューションファイル」を渡すと言っていたが、返信しないことにした
- 筆者は今でも、猫が完璧なタイミングで自分を起こしたことを信じがたいと思っている
- AWSの警告で携帯電話が振動したり音を立てたりして、それで猫が先に起きたのかもしれないと推測はできるが、夜間はおやすみモードを使っていた
- そのため、猫が何らかの形で朝まで待てない問題があると察知したのだと思いたい
- PagerDutyのアラームで起こされるより、ずっと気分のいい方法だった
GN⁺の意見
- スタートアップの初期段階では正式なオンコールローテーションを整えるのが難しいのは確かだが、少なくとも基本的な監視と通知の仕組みは用意しておくべき。チーム全員が常時待機するのは持続可能ではない
- AWS WAFなどを事前に設定しておいたことで、緊急時の対応がしやすくなったようだ。セキュリティ脅威に備える事前対策の重要性を示す事例
- 攻撃者のメールに返信しないと決めたのは賢明な判断だった。脅しに屈すると、より大きな問題を招く可能性がある
- 機械学習ベースの異常検知システムを導入すれば、猫の代わりにアルゴリズムがこうした攻撃を早期に捉えられるかもしれない。ただし、ペットの直感を過小評価すべきではなさそうだ
1件のコメント
Hacker Newsの意見