[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

ロリポップの一連の改ざんトラブルで大変なことになった僕の記録

lolipop
ぱくたそサーバー(Pleskなど)のヘルプデスクをお願いしているエンジニアの方と『サーバーを借りる際、「サポートだけにはしっかり費用が払える」を目安にしたいですよねー。』などと、安さ爆発のロリポップをつまみに盛り上がっていたら、『いやぁ、あのトラブルは本当に大変でした・・・』っという苦労話が実によくあるケースだったので、警鐘を兼ねて寄稿していただきました。('A')ノ

ロリポップ大規模DB改ざんについて


寄稿のお話の前に、今回発生したロリポップ大規模DB改ざんを簡単にまとめると。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun!

サイトが改竄されている → WPサイトが乗っ取られてる?脆弱性か? → ロリポップ公式から「ハッキングされていません」っとアナウンス → WP関係なくね?外部からDBにアクセスされてね!? → 公式による突然のフルパス変更 → MTやXoopsなどにも影響 → サーバー上のすべてのファイルをウィルススキャン

【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出 - NAVER まとめ

そんな感じでございます。現在も復旧のめどが立っていないクライアントも多いという事で、サーバーは安いけど損失的には高い勉強代になったのではないでしょうか。(>_<)

以下、エンジニアさんのお話です。

改ざん事件でとばっちりを受けたエンジニアのお話。

ロリポップの一連の作業で大変なことになった僕の記録を寄稿します。

僕はロリポップについて"個人利用のサーバー"だと思っているのでほとんど使いません。この話は、僕の後輩が自社の顧客管理システムをある業者に委託した内容でして、クライアントがどのようなサーバーを使っているのかや、どのようなシステムで動いているのかは知らず、会社の動脈にあたる部分をまるごと、この業者に委託していたそうです。

こんな図式ですね。 

今回の事件が発生する1か月くらい前、業者がクライアントへ一方的に契約解除をしてきていたらしく、連絡が取れない状態だったそうです。オーナー本人は、顧客管理システムは動いているし、「別にいいか」と思っていたとのこと。

突然の契約解除

そしたら、なんと運が悪いことか、今回の事件(ロリポップのDBが繋がらない)が発生するわけです。

DBにつながらなくなった。。。そして、その業者に連絡をしてみるも連絡つかない。。。どうしよう、業務停止になる、後輩に連絡とる、、、

という経緯で、僕に連絡があったというわけです。

業務が停止状態に陥る。

 

今回、初めてどのように顧客管理システムを利用しているのかクライアントに聞いたのですが、結論から言うと、そのシステムがないとまず仕事ができないくらい依存度の高い状態でした。はっきり言うとそのシステムがないとお客さんから問い合わせが来ても答えることもできない感じです。

例えるのなら、レストランでオーダーをもらう、オーダーされた商品とそのお客様がまったくわからない、厨房側も

何を作ればいいのかわからない、ウェイトレスも誰に届ければいいのか知らない、という状態です。お客様も怒りますよね、頼んだ商品は違うわ、お金は取られるわ、待たされるわ。あかんやつです。
 

....っと、言いたいことはたくさんありますが、その時点で私が行ったことは、現状のシステムがどんな状態で、トラブルになっているのか直接オーナーさんに聞きました。

コントロールパネル(webインタフェース)には繋がるのでログインはできるのですが、ログイン後お客さんの情報が出てこない・・・」oh

bj02_jp-13
(ブラックジャックによろしく 著作者名: 佐藤秀峰 サイト名: 漫画 on web)

やばくないですか?
顧客1万人くらいいるんですけど。。。

とのことでした。

えっ!?どういう事ですか!?


それを聞いた時点で私はロリポの事件を知らなかったので、まずDBが飛んだことを疑いました。非常にやばいケースカモと。。。 私はこのシステムに一切関与していない人間だったので、まずどのサーバーで管理しているのかから調べました。

調べた結果、今回ロリポサーバーだったとわかりました。ロリポップサイトでトラブルが発生していないかチェックをするところから始めるのがセオリーと思いサイトにつないだ瞬間原因判明。ワードプレスのアタックがあり、その影響でDBパスワードを替えたり、フルパス変更なりの対応を強制的に行っているとリリースに記載されていました。ほかに何もしなくても原因がほぼそれではないか、というよりまずこの対応を確認してから違っていたらほかのことを考えるのが最も早いとわかりました。
 

それなら、ロリポのアカウントやサーバー接続情報がわかればすぐに解決するんじゃないか!
ということになります。

その接続情報を教えてくださいとオーナーに聞くと、すべて業者に委託していて、サーバー代金などもその業者から請求されていたとのこと。課金の方法を聞く限りでは業者がすべての情報をもっていると思われ、結局技術的な対応をするにもその業者と連絡を付けなければいけないということになります。

連絡します。


しかし、連絡が繋がらない・・・

.....

.....

.....

OZP88_jojouryy500 

\(^o^)/

業者と連絡がつかない->コンパネやFTPにつなぐことができない=なんにもできない(でも原因がほぼわかっていて、8~12ケタほどのパスワードを変更すればオール解決ってわかっているけど何もできない) という状況です。

ロリポのサポートを使うことに


一番の解決方法はもちろん業者に連絡がつけばそれで解決です。こちらのオーナーさんの情報はオーナーさんの会社に名義を書き換えて、技術的な対応は業者がやらないのなら私が行えば解決です。連絡がついて情報をいただければほんの5分で解決です(ニッコリ)とわかっているのですが、連絡がつかない以上、なんとかしなければいけない。ということで、ロリポの問い合わせから、柔軟な対応を依頼するしかないと。(ガタッ)

ロリポは問い合わせ用のチャットがあるのでリアルタイムに対応してくれるだろうと期待して順番待ち。今日はそのトラブルで大変混雑しているだろうと放置していたら、10分程でサポートと繋がります。

『今回のトラブルでDBにつながらなくなったのは確認しました。パスワードを変更すれば解決すると思っているのですが、当社のアカウントを業者が所有していて、その業者が当社に情報開示をしてくれません。当社としては死活問題なので、名義の書き換えと、今回のこの対応を即座に済ませたいと思っており、至急ご対応していただけませんでしょうか。手続きはしっかり行いますが、(今回の件で)DBに接続の対応は迅速に行いたい』

旨を問い合わせました。

そうすると、1分ほど後にサポートの人からこんなコメントが。
【了解しました。それでは、この内容をメールフォームに記載して問い合わせていただけますか?】

「えっ!?」と。。。。何のためのチャットなんでしょうか。。。

おそらく緊急招集された人だろうから、ここでもめても前に進まないと判断しまして、

『ただ、至急対応していただけないと今回の件で会社が成り立たなくなる可能性があります。DBは規約上保証の範囲ではないかもしれませんが、今回の改ざんにおけるパスワード変更など、少なからず落ち度はそちら側にあるではないでしょうか。名義変更云々はこちら側の問題だったとしても、誠意ある対応をお願い致します。』

と送ると、先方から
【了解しました。そのあたりの判断もいたしますのでメールフォームに記載して問い合わせていただけますか?】

「えっ!?」と。。。。このチャットはロボットだったのか。。。
っと、思うくらいのマニュアル的な返答でした。。。

切りがないので、フォームで送るなどしているうちに1日が終わりました。ちなみに、この1日での売り上げ損失は200~300万ほどになだったそうです。助けてあげたくても、だれも情報を開示してくれないわけですから僕の立場では何にもしてあげれませんでした。

bj05_jp-95

翌日の夜中に連絡が来ました。オーナーさんからです。

業者と連絡がついて、至急トラブル対応と『今後関与しません』からと情報を送ってきたそうです。その連絡が、10時間ほど前なら損失もなかったのに。。。ちなみに、ロリポからの返答は2日後でした。(損失額を考えるとガクブルですね。)

今そのオーナーは業者に対して法的手段に出るか否か検討しています。

まとめますと、まず一つ目として、ロリポのサポートチャットは全く意味がないと思いました。次に、業務で使うサーバーは、もう少ししっかりしたものというより、専用サーバーかせめて仮想サーバー(VPS)、クラウドを使ってもらいたいと思ったこと、そして、サーバーなどの契約は絶対に自社主導で行うこと、もしくは相手業者が管理してもいいけれど、すべての情報は自社でも管理できるように貰っておくことだと、改めて思わされましたね。

また、サーバーのサポートやWEBサイトの保守・管理というのはやっぱり必要で、第3者的な立ち位置のサポートがあるとやっぱり安心できるんだろうなと思います。

オーナーさんと制作業者さんはその関係でいいのですが、その関係でトラブルが発生したらどうなるのか、結果どうなってしまうのか?、を判断して何の情報を誰に開示していて誰と誰の契約関係があるのかを第3者の立場で見て判断できる、この2つの関係を正しいものにするというのは大事なファクターです。僕がすしぱくさん(主にぱくたそさんの)のサーバーにおけるサポート・ヘルプデスク的な立ち位置でもありますね。

こういうシステム的なものは、ある程度技術も必要で、法律やお金のことだけでなく、導入するシステム仕様を理解できていないとトラブルが発生したときに双方を助けることができませんからね。

今回のロリポの事件は、かなり大きな問題になっていると思います。 私が知っている範囲でロリポユーザは、このような形態(業者に連絡がつかないと対応もできない)で契約している人が非常に多く、契約として利用者が直接契約していないことが原因ですし、事件とは直接関係はないですが、トラブル時に死活問題になってしまうという現状は見直すべきだと考えます。

これを機に企業サイトやショップサイトを運営していた方は他社サーバーに切り替えるんじゃないですかね?

---- 以上、寄稿ここまで


っという事があったそうでございます。('A')

いやはや、サーバー周りは大事ですなー本当に。個人的には、緊急対応は仕方のない部分ではあると思うけれど、そんな時だからこそ手厚いサポートで顧客ガッチリな感じじゃないのか、でもコスト面で無理だよねっと思ってしまいます。

ちなみに、現在のぱくたそでは、テクニカルディレクターとしてYuuさんを運営関係者として招きながら、更に深いバックエンドの部分と緊急時のヘルプデスク・サポートのエンジニアとして彼(名前は控えさせてもらいます)にお願いしております。

そのうち、Plesk でのVPS構築・設定、やぱくたそのサーバー周り的な技術サイトを作る予定ですんで、実際にサーバーのサポートやヘルプデスクで困っている企業さん、個人の方がいましたら是非お問い合せくださいませ。('A')ノおしまい。