ECサイトの攻撃
こんばんは、またまた久々のポッドキャスト収録になります。 前回の収録が5月23日ということで、もうこれほとんど10日前ですよね。
こんなに空いたのには理由がありまして、それが今日のテーマなんですが、 会社でやっているECサイトが攻撃を受けまして、いろいろと大変な目に遭っていました。
それについての話をしようかなと、今日は思っています。 その前にですね、リッスンのダッシュボードを見てみたんですけれど、
なぜか29日と30日にかけて、 再生回数がものすごく上がっていて、普段ほとんどあまり聞いている方ってそんなにたくさんいないんですけれども、
30日はなぜか90件以上の再生があって、どこかで紹介されたのか、ちょっとよくわからないんですけれども、
なんででしょうね、後でちょっと探してみようかなと、探ってみようかなと思います。 ECサイトの攻撃についてなんですけれども、前にも一度ちょっと1回話したことあるんですね。
4月の半ばぐらいに起きたんですけれども、販売終わっているのでお買い物ができるわけなんですが、
それでですね、多分不正流出したクレジットカード番号などのデータを使ったと思うんですけれど、
それでいろいろと買い物を何回も1時間に、それこそ2,30件とか40件とか、それなりにちょっと頻度を上げているみたいですけれども、
で、結構驚いたのがですね、もう名前が架空なんですよね、仮名なんですよね、完全に、どう見たりも。
みんな同じ名前でやってカード認証をやってて、それがなぜか通っちゃってるのがあるんですよね。
もちろんそれ全部海外のクレジットカードなんですけれども、よく海外はカード社会だとか言われますけれど、あれは実際は現金を使わないというだけで、
カードって呼んでいるものはクレジットカードというよりはデビットカードなんですよね。
なので発行しているのは銀行だったりします。
で、そのカードの決済を認証した銀行とかが見れるんですけれども、カードの番号と多分発行の有効期限でしたっけ、
その2つだけで名前は適当でも通っちゃう、認証が通ってしまう、そんないい加減なカードがあるらしくて。
不正仕様が分かったら銀行経由で不正仕様に基づいて返金しろというのが来るので、
それ言われてから返金すると手数料が1000円とか2000円とかかけられるというふうに聞いていたので、ストライプの方から。
もうしょうがないから返金の手数料とか決済の手数料とか戻ってこないけれども自分で返金しなきゃいけないということで、
渋々やるしかないなということでやって、こういうことが今後起こったら困るなと思ったら、しばらく2週間くらい何もなかったんですが、
5月の終わりの方にとんでもないことが起きまして、ECサイトの会員登録というのができるわけなんですけれど、
その会員登録というのをちょっと目が離した隙にですね、2時間で約1時間1000件、合計2000件以上の登録が施行されてて、
その登録したからといって何かしらセキュリティホールがあるわけじゃなくて、何というかサーバーに攻撃を加えてるつもりだったんでしょうね。
メール送受信の問題
うちの場合、バーチャルサーバー単体でクラウドで運用してますので雑居サーバーではないので、
雑居サーバーとは言わないのか、何というのかな?他のサービスと一緒に合同で使ってるのではない専用のインスタンスですので、
だから1時間1000件くらいの登録では別にサーバー負荷そこまでいかないんですよね。
一応確認で見てみたところ、メモリの方はちょっと見れなかったんですが、サーバー負荷としてCPUの方は最大で50%超えたぐらいで、
これって再起動したときに一瞬かかるぐらいの負荷ぐらいなものなので、そんな大したことないんですよね。
問題ないなというか、これずっと攻撃加え続けるのも嫌だなと思ったので、一瞬ですけれども、
Apcache、ウェブサーバーのミドルウェアですけど、一旦落としてまた再起動してとやったら、攻撃はそれで登録はやんだらしいんですが、問題はそこからで、
登録すると確認メールが飛ぶようになっているんですね。その確認メールにあるリンクをクリックしたら有効になりますよと、
ユーザー登録がアクティブになりますよということなんですけれど、その登録メールアドレスにGメールを使ってたんですよね。
Gメールと聞いて、もうピンときたIT関係の方がいらっしゃると思うんですけれど、
Gメールはここ最近迷惑メール対策として、いろいろ認証をするようにというふうにお達しが出ているんですね。
SPFだとかDKIMだとかDMARCだとか呼ばれるものを、それをDNSで登録してメールに添付するようにと、メールのヘッダーに入れるようにというふうになっているんですね。
これなりすましを防ぐための技術なんですけれど、そこまで私もそんな詳しいことは知らないんですが、それをちょっと面倒くさがってやっていなかったんですね。
そのせいでですね、Gメールの方針としては、大量送信業者に対してはこれらのDKIMやらSPFやらをヘッダーに入れていないと2500件ぐらいが閾値なんですかね。
ちょっと5000件とか書いてたりとか、ちょっとそれにはっきりしなくてウェブでも結構議論になったりしてたみたいですけれど、その閾値を超えたというか、超える前ですよね多分。
向こうのメールアドレスにメールを送りつけているというのでスパム扱いされてしまいまして、そのせいでですね、サーバーから自動送信するメッセージだけではなく仕事で実際使っているメールまでもがGメールに完全に送れなくなってしまったんですよね。
仕事の相手先がGメールアドレスということも結構たくさんあるので、送れないとなるとこれどうしようかなという感じになりまして、とりあえず対策として早急にDKIMとSPFを設定して、
メールサーバーはMS365を使っているので、Sharepoint上にあるメールサーバーなんですけれど、Sharepointでいいのかな(注:Exchangeでした)。
対応策と反省点
やってみたら後回しにするまでもなく、そんな結構数分で、数分は言い過ぎかもしれないですけれど、20分ぐらいで作業を済んでしまう、それぐらいの簡単なものだったんですが、
直してDNS情報を変えただけで、それで何かうまくいくというわけでもないので、Google見てくれているかどうかわからないから、Googleのフォームを一生懸命探して、
簡単に問い合わせに行かないようにいろんな選択肢を出して、一生懸命脳を押し続けるとようやくメールフォームが現れて、そこにメールのヘッダーを入れろみたいなのがあって、
それを出して数日ぐらい待っていたら、問い合わせのステータス上はまだ対応中になっているんですけれど、どうにかGメールに届くようになりました。
購入者にサーバーから自動で送るメッセージに関しては、センドグリッドを一時的に導入しまして、そちらから送るようにしたので、それは結構早めに対応できたんですけれど、
とにかく仕事のメールがGメールから届くのに、こっちからGメールに送れないというのが結構ストレスで、これで結構あれこれ調べたりなんだりで、
2日ぐらいほとんど寝ないで作業してた感じですかね。実際に手を動かした分ってそこまで多くはないんですけれど、
反省点といたしましては、メールのSPFやDKIMをちゃんと設定しておくべきだったというのと、
あともう一つは、本当に何というか、この利用者が生前説で考えていたものがあって、まさかこんな感じで攻撃を加えてくると思っていなかったので、
ちゃんとした防衛をしていなかった。端的に言うとクラウドフレアを使っているんですけれど、
主に速度高速化、表示の高速化ということでクラウドフレアを入れたんですが、クラウドフレアの防衛機能の方のターンスタイルというのがありまして、
キャプチャーと似ているようなものなんですけれど、ボットっぽいのを見つけたら、
あなたは人間ですか?みたいなボタンをさせるみたいなやつみたいなんですけれど、
なんというかクラウドフレアをうまく使いこなせていないというか、項目が多すぎてどれを見たらいいのかみたいな感じになっちゃっているので、
また後回しにしてしまったのが悪いんですが、そういうわけで5月の月末の処理、いろいろ支払いだとかそういうのがあったりしていたんですが、
それも相まって非常に大変な目に遭っていました。
そういうわけで日曜日はもう今日は1日、もう昼から出かけてクラフトビルでも飲んじゃうぞーって思っていたのですが、
出かけようと思ったら天気が悪くて雨が降りだしたので、いいで大人しくしていました。
今までいろんなECサイトだとか中堅どころも大木どころもいろいろ被害に、サイバー攻撃の被害になっているというニュースを見ていて、
どこか他人事でいたんですが、自分ぞこれにも来たんだなと思うと、感慨深いというか、
でもこれなんかこううちの会社が恨まれてやられてるとしたらすごい嫌だなーとかなんか言い知れない、何とも言えない気持ちになっていました。
いやー元々が2日ぐらいで作ったワードプレスで作ったサイトなのでECもですけども、
今になって月が来ているというか、まあそもそもECやるとしたら、
2018年当時だったので一番いい選択肢、一番手軽なものとしてワードプレスを使ったわけですが、
当時マジェントとか他にもいろんなものがあってそっちに乗り換えようとかいろいろ試したこともあるんですけれど、
どうにもお金がかかったりとか妙にメモリーを食うとかそういう問題があって、
マジェントは今アドビーが買ったので少しは軽くなるのかなとちょっと期待しているんですけれど、
日本もECキューブというECツールがあるわけですけれども、
それ使っている人が多分自社サーバーでやっているところの人が多いのかなと思うんですが、
他言語対応というところでちょっと不安があったりとかしたので、
他言語対応プラグインでそれなりのものがあったワードプレスを使ったわけなんですけれど、
今からECから作るとなったらショッピファイ使ったらいいんじゃないのって思うところですが、
どうなのかな、自分でサーバー上でいろんなプラグインだとかプログラムだとか作って動かしたりとかっていうことを考えてたりしたので、
それはまあ結局実現していないわけなんですけれども、
サーバーに詳しくなったのは多少若干詳しくなったのは良かったのかなと思いますが、
まあなんだか取り留めのない愚痴みたいな会話になってしまったので、
これまた深夜雑談という枠にしようかと思いますが、
こんな感じでまたちょくちょくとポッドキャスト更新再開していきたいと思いますので、
まあ良かったら聞いてみてください。
それではおやすみなさい。