DDoS攻撃によってクラウドコンピューティング企業から1500万円もの請求が突然届いたという記録

RedditユーザーのAtsh氏が、自身が運営するサイトにDDoS攻撃が仕掛けられた結果、ネットワークの帯域超過に伴ってホスティングサービスを提供するクラウドコンピューティング企業のNetlifyから10万4500ドル(約1570万円)もの請求が届いたことを報告しています。

2024年2月、Atsh氏の元にNetlifyから「10万4500ドルの請求が滞っています」とのメールが届きました。Atsh氏は「最初は冗談かよくある詐欺メールかと思いましたが、実際にNetlifyのダッシュボードを確認してみると、本当に自身が運営するサイトに対して10万4500ドルの請求が行われていました」と述べています。以下は実際にAtsh氏に届けられたメールの一部です。

Atsh氏によると、自身のサイトは基本的にNetlifyの無料枠で十分まかなうことが可能な1日200人ほどの来訪者しかおらず、Netlifyの導入を行っている4年間で一月のトラフィックが10GBを超えたことはないとのこと。しかし、DDoS攻撃がAtsh氏のサイトに対して行われた結果、4日間の合計で190TBものトラフィックがあり、ピーク時の2024年2月16日のトラフィックは1日で60.7TBに上りました。

Netlifyでは、帯域幅の超過に伴う請求額について「100GBごとに55ドル(約8200円)」と規定しているため、この結果Atsh氏に対し10万4500ドルもの請求が行われたというわけです。

Atsh氏がNetlifyのサポートに連絡したところ、今回の過剰なトラフィックはAtsh氏の推測通りDDoS攻撃によるものであることが判明しました。しかし、NetlifyはAtsh氏に対し「このようなケースはよくあることで、DDoS攻撃によって過剰な請求が行われた顧客には通常20％の値引きを行っています。しかし、今回のAtsh氏のケースは金額が大きすぎるため、請求額の5％となる5000ドル(約75万円)に値下げします」と伝えました。以下はNetlifyのサポートからAtsh氏に送信されたメールです。

このNetlifyの対応に対しAtsh氏は憤慨。「Netlifyはサーバーレス・プラットフォームであるにもかかわらず、なぜDDoS攻撃に対するプロテクトがないのでしょうか。また、利用額が急増したらユーザーに警告してくれる仕組みが導入されているはずですが、メールボックスを確認しても何の情報もありませんでした」と述べ「これは詐欺に近いと思います」と厳しく批判しています。

Atsh氏によると、DDoS攻撃の犯人はAtsh氏のサイトのファイルに集中して攻撃を行っていたとのこと。Atsh氏は「たしかに、SoundCloudのような音声ファイル共有サービスを利用せず、サイトに3.44MBの音声ファイルをそのまま置いていた私にも責任があります」と述べた上で「それでも、このようなDDoS攻撃からサイトやユーザーの財産が保護されないことがあってはなりません」と指摘しました。

記事作成時点でAtsh氏はNetlifyに対して料金を支払っていません。さらにAtsh氏は「今回の一件に懲りて、もう二度とNetlifyは使いません」と述べ、Cloudflareへ移行したことを報告しています。

なお、オンライン掲示板のHacker Newsにおいて、Netlifyのマット・ビールマンCEOが「Atsh氏に対する5000ドルに上る今回の請求は無効になりました」と報告しています。またビールマン氏は「Netlifyでは、トラフィックの急増時に無料枠で運営されるサイトを強制的に閉鎖するのではなく、その後のユーザーへの請求を免除することがポリシーとなっています。このことが最初のサポートからの返信で伝わらなかったことをおわびします」と述べました。

その後、Atsh氏の元にNetlifyから請求免除の連絡が届いたとのことです。Atsh氏は「今回の攻撃について、誰が攻撃の指揮を行ったのかが気になるところです」と述べています。