再度サーバを引っ越しました

みなさま、お久しぶりです。

Twitterではリアルタイムに報告していましたが、一応こちらの公式にも投稿しておきます。

結論から書きますと、家Tサーバーで利用しているVPSサービスをGMOのVPSから、さくらのVPSに変更（引っ越し）しました。

既に一段落したのでわざわざ掘り返して書くのも労力の要る事なのでやめようと思いましたが、今後の私のような立場の方のために参考になればと筆を取りました。

2016年8月22日（月）12時半頃にGMOインターネット社より、「VPSの一部ご利用制限につきまして」といったメールが急に届きました。

内容としては、

このたびお客様にご利用いただいておりますVPSに対して、
外部からの不正なトラフィック（DDOS攻撃）を検知いたしました。

対象IPアドレス ：xxx.xxx.xxx.xxx

大変恐縮ではございますが、他のご利用者様への影響が懸念される
状況となっておりましたので、該当VPSに対する外部からの通信を
すべてDropするようにさせていただきました。

サービスの安定運用上、何卒ご了承くださいますよう、お願い
申しあげます。

といったものです。この時点で一方的且つ、対処法や今後の方針など一切記載されてませんよね。

こちらとしては、うちのサーバ自身発ではないためこちらには基本的に責任は無いと思いつつも、共用サーバである以上一時的とは言え迷惑をかけてしまったので、謝罪するとともに今後どのようにしたら解除してもらえるか？まずはiptablesでアクセス元またはその国ごとブロックする等の方法を提案し、返事を待ちました。

ところが、そこから半日返事がなく、ちょうど出張中だったので夜ホテルに戻って22時くらいに窓口に電話。

お問い合わせNOと会員IDを伝え現状も伝えているのに、「サーバは起動しているし使えるはずですが？」的な事を言ってくる。ブラウザによるコンソールからは使えているからそれくらい俺も知ってるよって事と、メールには外部からの通信をDropと書いてあるのに Incoming/Outbound ともに通信できない旨を伝えて、「お待ちください」と5分ほど保留で待たされた結果ようやく状況を理解した模様。

夜間対応では規制解除といった手続きはできないようで、お客様のご要望は翌日対応者に引き継ぎますといったようなところでお茶を濁されて対応終了。

しかしその翌日仕事しながらも連絡を待っていたが、一向に連絡無し。

一応言っとくけど、この間ずっとサーバ止まってんだからね？ユーザーさん使えてないんだからね？

で、我慢できなくなり16時頃に新幹線で移動しながらメールしました。「翌日には連絡すると言ったくせに連絡ないんだけど？」的な感じで。

すると30分後くらいにメールがありました。

ご案内にお時間を頂戴しており、まことに申し訳ございません。

まことに恐れ入りますが、今回ご利用のVPSへのDDOSのため、
共用でご利用いただいているネットワーク自体に大量のトラフィックが
生じてしまい、他のお客様のサービスのご利用に対し影響が出てしまう
自体となりました。

今回ご提案いただきましたように、お客様のVPS側のiptablesで
アクセスを許可されるIPアドレスを制限をされたとしても、
同様のDDOSが発生した際に、ネットワーク自体に高負荷が
発生することは免れないため、まことに恐れ入りますが、
制限の解除は難しくなっております。

ただ、バックアップの取得にあたり、2時間程度であれば制限の解除を
承らせていただくことが可能でございますので、一時的な制限の解除を
希望される場合は、お手数ではございますが、ご希望のお時間を
お書き添えのうえでご返信くださいますようお願い申しあげます。

この時点で嫌な予感は的中。要は解約しろと。

どうにも解せない私は、「つまり、通信はできないのに料金は払い続けるということですか？」

と返信を続けたところ、「すでにご入金いただいております来月分についてはご指定の口座に返金します」と。ただしこれ、向こうからの振込手数料を除いたもの。

そのために、問い合わせフォームから解約希望日や返金先の口座情報などを送るよう指示がありました。

さすがに2時間の規制解除ではバックアップは難しいと思ったので、日時を指定して「4時間にならないか？」と返信したところ、これは承諾してくれて「8/24 10～14時限定で開放」としてくれました。

それまでに、さくらインターネットのVPSを契約し初期費用と月額費用をクレジットカードで支払い（試用期間モードだと2Mbpsに制限されており4時間では全データは移行できないと判断）、8/23の夜間で新規サーバを構築しました。

で翌日の8/24の10～14時をできるだけ予定を空けておき、一気にデータ移行をしました。サーバの運用ツールなど一部は移行できませんでしたが、ユーザデータは全て移行しました。
ほんとにこれ、タイマーで設定しているのかってくらいぴったり10～14時までの開放のようで、14時を過ぎたら本当にSSHも切断されてしまい、あと少し触っていたかったのに無慈悲なものでした。

この対応がこれまで真面目に費用を支払って、丁寧に使ってきたユーザへの仕打ちですかと。あまりにも一方的でしょと。

そりゃDDoSを受けるこちらにも多少非があったのかもしれませんよ。セキュリティホールがあったのかもしれませんよ。でもね、せめて「あと1回攻撃受けたら解約ですから注意してね！」くらいで良くない？しかも、こっちがデータ返せって言わなかったなら完全にデータも失って泣き寝入りですよ。

もっと言えば、DDoS受けるような貧弱な上位ネットワーク機器使ってんのはそっちだろ？と。FirewallでもWAFでも良いから料金が多少高くなっても良いから上位側で対応してくれても良いと思うんです。

もう少し、アクセス元のIP帯が〇〇だからこの国を絞ってみてくれとか、こういった対策をちゃんとしてますか？的な質疑応答があってしばらく様子見てそれでも攻撃受けるんだったら、こっちも直せない非があるし申し訳ないから解約しようかってなると思うんです。今回はその余地すら全く感じられません。まるで「グーグル八分」やグーグルによるアカウントBanと同様ですね。

GMOも偉くなったもんです。

何か書いてると疲れてきたのでこの辺にしときます。

今後はDDoS対策についてもっと勉強しておこうと思います。

長時間のサービス停止について、申し訳ありませんでした。