■漫画村のDDoS攻撃対策が予想以上にしっかりしていた

一昔前のインターネットなら、ある人々から気に食わないと思われるサイトは攻撃を受けてダウンさせられるような事がよくあった。終戦記念日に2chが韓国の右翼集団から攻撃されてダウンさせられていたといった話も聞いたことがある人が多いと思う。ここ最近のネット上で最も嫌われているサイトの1つである漫画村もダウンさせられていておかしくないと思うのだが、不思議な事に全くそういう話を聞かない。

気になったので検証のために踏んできた。検証と言ってもChromeでF12キーを押すと出てくるDeveloper Toolsを使っただけなので中学生でも出来るようなものである。

「漫画村」の名前を出すと宣伝になってしまう恐れはあるようだが、このエントリごときでアクセスは増えないと思うのでそのまま書かせていただく。

以下、説明を長ったらしく書くが、Web業界の人向けには「動的ページを極力排除した上でほぼ全てのコンテンツにCloudFlareを噛ませている」の一言で済むと思う。

DDoS攻撃って何

DoS攻撃

DoS攻撃（Denial of Service attack）というものがある。サービス停止攻撃とか訳されるらしい。

アクセスを集中させてサーバの負荷を高くし、Webサービスがまともに機能させなくする攻撃である。ライブのチケット予約サイトにアクセスが集中して重くなるようなことがあるが、その状態を人為的に作り出すものといえば分かりやすいだろうか。

とてもシンプルな攻撃手法で、単純に言ってしまえばF5キーを連打するだけで攻撃になる。

DDoS攻撃

大昔のサーバならF5キーを連打するだけで負荷が高まったかもしれないが、最近のまともなサーバーにF5キーを連打しても意味はない。戦車に水鉄砲を撃つようなものである。

だが、1000万人がF5キーを連打していたら十分な攻撃になる。といっても「このサイトを開いて数時間ほどF5キーを連打しまくってください」なんていう間抜けな要望を聞いてくれる人間が1000万人も集まるわけがない。

だから攻撃者は世界中のボットを使ってF5連打をする。もちろん物理的にF5連打するのではない。

このボットがどこに居るかというと、乗っ取られたそこらへんの人のPCの中にいる。乗っ取るというより、外部から攻撃者の指示を受けて特定のサイトにアクセスしまくるウィルスがそこら辺のPCに忍び込んでくるとでも言うほうが正確かもしれない。

PCに限らずネットにアクセス出来る機器ならなんでも良いので、セキュリティ対策をしていないIoT機器なんかもよく踏み台になる。自宅の冷蔵庫が知らぬ間に米軍を攻撃しているかもしれないといったSFめいた話が現実味を帯びてきたらしい。

EDoS攻撃

最近出てきた言葉らしく、自分もあまり馴染みがないが「Economic」に打撃を与える攻撃らしい。

最近流行りのクラウドサービスは従量課金制であることが多く、そこに配置されているWebサイトにアクセスが集中する＝運営者に経済的に負担が掛かるというわけだ。

CloudFlareって何

CDNサービスの一種だ。CDNというのは本体のサイトをキャッシュし、サイトにアクセスしてきた閲覧者にそのキャッシュを見せるサービスである。CSSや画像だけをCDNでキャッシュするという使い方をしているサイトが多い。

たいてい、本体のサイトに比べて桁違いの処理能力やネットワークがあるから、本体のサイトの負荷軽減だけでなく表示速度向上にも繋がる。

これもアクセス数に応じた従量課金制であることが多いが、CloudFlareはなんとDDoS攻撃が発生している間を無料にするというサービスを行っている。つまり、CloudFlareを利用しているWebサービスにはEDoSが成立しにくい。

http://jp.techcrunch.com/2017/09/26/20170925cloudflare-now-offers-unmetered-ddos-attack-mitigation/

CDNに最適化された漫画村の設計

CDNは本体のサイトの肩代わりをしてキャッシュしたページを配信するという特性上、アクセス毎に異なるページが表示される動的なページ自体を配信することには向いていない。

動的なページというのは画面が動いているとかそういうのではない。データベースに保存されているユーザ名やプロフィール、ユーザに紐付いた記録などを引っ張ってきて動的に生成するものだ。

対義語は静的ページ（静的コンテンツ）で、素のHTMLや画像などがこれにあたる。どうでもいいけど静的コンテンツってえっちな響きがするから職場で声に出して読むのが恥ずかしいワード第1位だと思っている。

各種サイトの「マイページ」が動的ページ典型例だ。CDNで動的なページをキャッシュすると、最悪の場合マイページが他人に配信されてしまうし、そもそも見るユーザや表示するタイミングによってデータが違うものを毎回毎回キャッシュするとCDNの意味がない。

アクセスして驚いたことに、漫画村はユーザ登録が存在しない。また、ブックマーク機能という作品を記録する仕組みがあるが、これはユーザのブラウザ側に作品の情報を保管しているようでサーバ側にデータはないと思われる。

つまり、動的ページが極力排除されており、CDNがキャッシュしやすいようになっている。

さらに、漫画村の要とも言える画像コンテンツは外部のアップローダに掲載されているコンテンツを参照しているものであった。画像の負荷についてはアップローダに丸投げでき、そもそもCDNだの転送料だのを気にする必要がない。

配信しているコンテンツが違法すぎて評価したくはないが、ダウンした話を聞かないのも納得ではある。

ただ、昨日Twitterで話題になっていたように、「プロ」と銘打った厚顔無恥な有料プランを導入するにあたって動的ページが増えてくると思う。いまはシンプルゆえに脆弱性が存在しづらく、DDoS対策もしやすいが、登録制度が登場するであろうタイミングで攻撃の標的になりうるんじゃないかという気はしている。

出版社頑張ってくれ

YouTubeが広告を強制的に挿入して違法アップロードされた音楽の権利者に広告料を還元しているのを参考にして、出版社側がそういった仕組みを作ってしまう方が早い気もする。

システムだけ見ると漫画村は優秀だ。散々データをパクられてきた出版社が漫画村のシステムをパクり、逆襲を仕掛けても面白いんじゃないかと思う。

Permalink | 記事への反応(5) | 03:18

ツイートシェア