シャープの「マスク購入希望者殺到でIoT家電にも影響」はAWS Shieldか

先日、一般販売が開始されたシャープのマスクは、同社ECサイトのダウン、さらにアカウント管理を共有していた同社IoT家電の不調にもつながりました。当初は過負荷に耐えられなかったのだろうと思っていましたが、徐々に情報が出てくるにつれ、AWS Shield StandardによるDDoS誤検知だった可能性がないのか気になり始めました。シャープの件が該否どちらであったとしても、「AWS Shield StandardによるDDoS誤検知」という可能性とその対策はこの先考えていかないといけなそうに思われます。。

マスク製造開始からIoT家電不調まで

シャープがマスクを製造と報じられたのは3月24日。当初分は政府に納入、一般販売はその後とされ、3月31日には第一便の出荷が（経産省公式アカウントで）ツイートされました。4月1日にはマスク製造を事業化し健康関連分野進出の足掛かりにするとの発表もあります。

シャープ、マスク生産開始　当初は1日15万枚

シャープ、マスクを出荷開始　アイリスオーヤマは日本での量産を決定

シャープ、マスク生産を事業化へ。欧米、インド、中国でもマスク生産を開始

4月20日、翌日から一般販売開始とツイート。そして翌21日、公式アカウントがこうつぶやきます。

マスクのページ、私ですら今日一度も見れませんでした。ご迷惑おかけしたみなさま、申し訳ありません。

— SHARP シャープ株式会社 (@SHARP_JP) April 21, 2020

マスク販売ページがアクセス困難、アカウント作成の確認メールが届かないなどに加え、同社のIoT家電にも影響が出た、スマホアプリからIoT家電を操作できないと報じられました。

シャープのマスク 販売開始もサイトにアクセス殺到 | NHKニュース

シャープがマスクの販売再開を見送り アクセス殺到でIoTにも影響 - ライブドアニュース

IoT家電への影響波及についてはより踏み込んだ後続記事も複数出ており、ECサイトとIoT家電アプリがともに認証機能として利用していた「COCORO MEMBERS」への接続障害のようです。この原因は想定外のアクセス量に対してファイアウォールが動作し接続できない状態にしたものということで、各記事おおむね一致しています。

シャープのマスク通販サイトへの殺到で同社IoT機器にも影響

シャープ、マスク販売の再開急ぐ - スマート家電への影響も「復旧に全力」

なぜ家電に影響？ シャープ「マスク販売」で何が起きたのか…トラブル連鎖の原因とは

シャープマスク販売でIoT家電も落ちた、クラウド時代が抱える盲点 (1/2)

疑問点1：誰のデータセンターでのできごとか

ここで私が気になっているのは、この「ファイアウォール」というのが、誰の管理しているものかという点です。まずシャープは、今回の原因を「データセンターのファイアウォール機能」と表現しているようです。また「DDoS/サイバー攻撃と誤認」したというニュアンスの表現も複数の記事にあります。

シャープでは、同社データセンターにおけるファイヤーウォール機能が原因の1つであるとの見方を明らかにした。（PC Watch）

予想を上回るアクセス数に対して、データセンターのファイヤーウォール機能が働き、サイトにつながらない状況になったという。（ASCII.jp）

ファイアーウォールは、｢その企業のサービスとして想定し得ない量のアクセス｣を、DDoS攻撃と認識して止める。今回は、その｢想定し得ない量のアクセス｣が会員制ECサイト｢COCORO MEMBERS｣に集中した。結果、ファイアーウォールは、殺到する購入希望者をサイバー攻撃と誤解し、サービスを止めてしまった…というのが真相だ。（Business Insider Japan)

システム障害の原因として、セキュリティーシステムがサイバーテロと認識して通信を遮断したのではともみられている。（日刊スポーツ）

このファイアウォール機能を提供しているデータセンターは、誰のものだったのでしょうか。この点、各記事は見解が分かれます。

シャープでは、大阪・堺のグリーンフロント堺に自社データセンターを持ち、同社サイトの運営や各種クラウドサービスの提供しているが、これらのサービスに同じプラットフォームを利用していたことが影響したものとみられる。（ASCII.jp）（※大河原克之氏執筆）

ジャーナリストの大河原克行氏の取材記事によれば、シャープのAIoTプラットフォームは大阪・堺データセンターのインフラを活用しており、AIoT家電以外にもオフィス向けのサービスや他社サービス・機器に対して、COCOROサービスプラットフォーム事業を提供することを考えているそうです。（マイナビニュース）

シャープでは、本社がある大阪・堺のグリーンフロント堺にデータセンターを自前で持ち、さまざまなサービスを同データセンターから提供している。ECサイトにつながらないという状況や、AIoT家電への影響は、同データセンターとも関連がありそうだ。（PC Watch）（※大河原克之氏執筆）

シャープのネットワーク家電サービスである｢COCORO＋｣は、コアがアマゾンのクラウドインフラサービスである｢AWS｣で動いており、混雑に合わせた対処には、本来比較的強い。（BUSINESS INISDER JAPAN）

上記の通りグリーンフロント堺のシャープ自社所有のデータセンターとする記事が3本と、AWSとする記事1本があります。ただし前者はいずれも大河原氏執筆または同氏の記事を参考にした記事なので、ソースは同一。後者はソース不明ですが、AWSが公開しているCASE STUDYを読むとCOCOLO+がAWSを利用しているのは間違いなさそうです。ただしその中で、COCOLO MEMBERSがどちらのデータセンターにあるのかは依然明確になりません。

AWS 導入事例: シャープ株式会社 | AWS

疑問点2：誰のファイアウォールが働いたのか

AWSでは、データセンター側の機能としてネットワークレイヤー3と4でのDDoSからの保護が行われます。これはAWS Shield Standardと呼ばれるファイアウォール機能で、全利用者の環境で自動的に適用されます。

AWS Shield は、AWS で実行されるアプリケーションを Distributed Denial of Service (DDoS) 攻撃から保護するマネージド型のサービスです。AWS Shield Standard は、すべてのお客様に対し追加料金なしで自動的に有効化されます。（よくある質問 - AWS Shield | AWS）

レイヤー7でのDDoS保護には、AWS WAFを組合わせる、AWS Shield Advancedに切り替えるなど、利用者の任意で、利用者のコントロール下で防御策を講じます。

今回の件は「データセンターのファイアウォール機能がDDoSと誤認して止めた」とのことでした。仮にデータセンターがAWSの場合、利用者のコントロール下にある任意で構築したファイアウォールなのか、それともAWS側が管理し利用者には触れることのできないAWS Shield Standardなのかが気になります。そして仮に後者だと仮定すると、以下の部分は非常にわかりやすくなります。

アクセスしてきた人数がシャープの想定とは文字通り｢桁違い｣だったと想定されることだ。ではどのくらいだったのか？ シャープ広報は｢実は、把握できていない｣と答える。なぜなら、｢サイトが落ちる前に｣セキュリティが働いてしまったためだ。（Business Insider Japan）

ファイアウォールがアクセスを遮断しているなら、ファイアウォール自身には遮断の閾値なりアクセス数を示す記録がありそうな気がします。ただしアクセスを遮断したのがAWS Shield Standardなら、閾値や条件などは分からず、履歴も有償のAWS Shield Advancedプランにしていないと取得できないようです。

Q: AWS リソースへの DDoS 攻撃すべての履歴は取得できますか?
はい。AWS Shield Advanced では、13 か月間のすべての攻撃履歴を確認できます。（よくある質問 - AWS Shield | AWS）

またBusiness Insider Japanの記事では、以下の部分もファイアウォールがマルチテナント性を持っているように読めます。

DDoS攻撃は、大量のアクセスを短時間に行うことで、サーバーへの侵入やサービス停止を試みる。そのためファイアーウォールは、｢その企業のサービスとして想定し得ない量のアクセス｣を、DDoS攻撃と認識して止める。（Business Insider Japan）

AWS Shield Standardの誤検知は対策できるのか

今回、シャープのCOCOLO MEMBERSが使っていたのは自社データセンターかAWSか、仮にAWSだとして不調を引きを越したファイアウォールはAWS Shield Standardか否か、結局のところ公表されない限りは分かりません。ただ今回のことで「AWS Shield StandardがアクセススパイクをDDoSと誤認する可能性」に気づいてしまったのは、ちょっと私には気の重いことでした。

もしAWS Shield Standardによる誤認だった場合、どのような対策がとれるのでょう。このDDoS認識のロジックは、AWS全体で共通の同サービスの知見によるもので、利用者が手を出せる部分ではなさそうです。こうなった場合、DDoSとみなされる利用のされ方を避けること、つまりワークフローやロジックを変更することまで必要になりそうに思われます。例えば今回のマスク販売の件では、次のように申し込みまでのフローから見直すことなどです。

アクセス集中を避け、トラブルなく公平に必要なものを売るためには、｢事前登録による抽選｣｢公平なアクセス制限による販売｣などの施策が必要だと筆者は考える。（Business Insider Japan）

そして実際にシャープの対応は、前回の障害についての詳細などはないまま、まさにこの方向になりました。

アクセス集中を緩和するため、販売方法を抽選方式に変更させていただくことといたしました。（株式会社SHARP COCORO LIFE）

かなり上流からそれ以降最下流までの見直しになるので、これは多くの場合簡単なことではないと思います。本件については「データセンターのファイアウォール機能」が具体的にはなにだった、それがどちらであれ一般論としてクラウドでは事業者のセキュリティ責任範囲となるインフラレイヤでの誤検知があったら何が起こるのか、そしてどんな対応が可能なのかと言ったことは今後知りたいところです。