自作サービスがDDoS攻撃された話 - 週休７日で働きたい

攻撃に立ち向かうイヌさんThe English version is available here. タイトル訂正: 「自作サービス『に』→『が』DDoS攻撃された話」「それはDDoSではない」という指摘に関して末尾に追記 (6/18)SaaSを開発していると本当にいろんな事が起こります。それらは時に開発者に喜びや悲しみ、怒り、感謝、落胆や興奮をくれます。思い返してみれば結局はみんないい思い出になるものです。先週末に、拙作の小さなウェブサービスがDDoS攻撃を受けました。言わずもがな、悪い出来事です。本稿ではこの事故がどんなものだったのか、どうやって対処したのかについてお話します。 どうもTAKUYAです。僕はInkdropというクロスプラットフォームなMarkdownノートアプリを独りで3年以上開発・運用しています。ユーザ数2万人以下のとてもニッチなSaaSで、僕はこのサービスで生計を立

[craftzdog]

書いた / タイトル訂正しました

[laiso]

サインアップAPIを悪用され氏名にフィッシングサイトのURLが入った確認メールを他人に送付されるのか。あー、今InkdropのサインアップしてみたらGmailのSPAMフォルダに放り込まれていました

[fukken]

タイトルだけ見て、自分の作ったサービスに（自分の別のサービスとかが）攻撃された話かと思った

[yaboot]

同じ攻撃を受けた事がある。登録時の名前はURLが含まれていないかチェックが必要

[circled]

末尾の方の引用ツイートにもあるけど、無料枠でも恐ろしく色々できるcloudflareをかましとくのはありかと。最悪その場で有料課金して高機能を利用可能にしてガード出来る。海外の開発者でもDNSにcloudflare利用者多い。

[spark7]

ヘッドレスブラウザ的なbotもあるからjsの対処法はダメだろうな。recaptchaしかない。/ CSRF対策じゃ防げないよ

[michiomochi]

ありがたい知見

[everybodyelse]

こういうのあるからメール送信フォームを気軽に作りたくない

[suu-g]

これと攻撃手法はほぼ一緒な感じ http://www.security-next.com/115212

[sucelie]

v3はv2と違って鬱陶しくなくていいよね

[igrep]

登録確認メールに、メールアドレス以外のユーザーが入力した情報を一切書かないって手もあり得るか（いつも使える手ではないけど

[mohri]

人気アプリになるとこういう攻撃も受けるんだなあ。個人開発アプリかどうかってスパマーには関係ないもんな

[flont]

定義を曲げてまでDDoSという言葉にこだわる理由が謎だった

[tyoro1210]

『実質的にDoS』と同じ負荷がかかった のと「DDoS攻撃を受けた」は違う話しかな。それは「攻撃手法」の名前だから、受け手の感じ方はあまり関係がないのでセクハラの例えは不適切に思う。

[tasshi820]

お疲れ様です😢 reCAPTCHA v3は画像選択や手書き文字でユーザを煩わせない。なるほど。

[tettekete37564]

宛先指定出来ない投稿フォームとかでも攻撃してくるよね。ロシアのスパム攻撃。/ ほうreCAPTCHA v3 だとパズル出なくて済むのか。/ WebAPI のカジュアル不正利用防止として費用対効果がめちゃ高そう > 乱数out 足し算in の方法

[kappaseijin]

この発想はなかった。認証はめんどいのでOAuthしたい

[Soraneko]

登録完了メールをスパム配信に利用された話。 名前にフィッシングサイトのURLを入れてアドレスリストから登録。 サービスによっては案内しているURLのように見える（メール本文にユーザの名前を使ってたら）。

[rryu]

DDoSというか会員登録完通知了メールをSPAM送信に利用されたということっぽい。JSを実行してないのを検出すればボットは防げるというのは古い知識だと思う。CloudflareのBot Fight Modeは気になる。

[burnworks]

名前欄にURLを仕込む手法でスパムメール送信に悪用されたと（細かいけどスパムの踏み台にされたって話でDDoS攻撃ではなくね）

[shikiarai]

なるほど、登録アカウント名にURLを入れる……頭良いな……

[ritou]

「登録時にURL拡散できた」「たくさん作られた」について前者はURL弾こうとあるがリンクになるパターンはまだあるし、後者はreCAPTCHAでbot対策が書かれているがメール確認後にアカウント作成するなど考察が必要だろう。

[naglfar]

最期のカニが舌に見えた。目的がフィッシングメールの送付でサービスが落ちなかったのなら DDoS ではないと思うが、事案として共有されたのはありがたい。

[Nodaguti]

reCAPTCHA は Firefox で privacy.resistFingerprinting を有効にしていると毎回5-6回は回答させられるので負荷が高くて辛い

[fukumura]

会員登録時のサンクスメールが狙われる時代😱

[ya--mada]

なるほどね、申し込みフォームをSPAMの踏み台にされた話か。DDoSというのではないかなと、「フォームからSPAM送信された」ですね。reCapchaで対処というのも新規ユーザー少ないし丁度良いバランスということですね👌

[yoga3po]

サインアップしました。Gsuiteでもサインアップメールがスパム判定されますね。報告はしておきました。

[digo]

細かいけど（サーバーダウンが目的ではないので）DDoSとは呼ばないのでは。 / reCAPTCHA、やっぱり必要なんだね。

[Shin-JPN]

この攻撃、サービス自体が不正行為してると見做されてAWSにSES止められた可能性はあったわけで、そうなるとサービス継続詰んでたような気が。止められなかったのは単なる僥倖なんで本来攻撃後に対処する方法ないような

[mkusunok]

余計なお世話だけど何故ここでMD5を使うの？

[jsstudy]

CAPTCHA v3はユーザの操作する様子を見て自動的にスコア付けします。一般的なCAPTCHAとは異なり、画面に表示された歪んだ文字や数字を訪問者に入力させる必要はありません。よってコンバージョンレートが下がる心配はない

[rideonshooting]

サーバ運用は大変ですね。。あと独特な文章。（翻訳感

[shiba-yan]

自分も単に CSRF 対策をしていなかっただけのように見える

[t_motooka]

小さいサービス作る時はこういう対策せずにリリースする時あるから、気を付けないとね。（あと、CSRF対策ではこの攻撃を防ぐことは無理ですよー）

[skur2]

生々しくて勉強になりました

[akiramaz]

ありがたい知見

[tm_universal]

自作サービスがDDoS攻撃された話 - 週休７日で働きたい

[fashi]

reCAPTCHA入れて解決するってAPIアクセスではなくフォームでCSRF対策入れてなかったということでは

[peketamin]

reCAPTCHA実装でbotによるsignup api濫用を防いだのか。なるほど。jsで足し算validationさせるのと同じ手間で出来るとのこと。

[shunt_i]

サインアップ悪用と対処