1. ホーム /
  2. サーバー

サーバー

Gmailにメールが送れない!ブラックリスト入り??GMOクラウドでメールを送っても届かないトラブル発生!~自分の身は自分で守ろう~

※2019年4月16日17:00現在も障害は発生中の模様です。
※2019年4月17日午前に、GMOクラウド社より、障害情報の記事ページに情報更新がありましたが、具体的な障害原因や対応方法、障害に対する具体的な対策などはまだ発表されていません。障害が長引く可能性もあります。対象の方は何か別の回避方法を考えられた方がいいかもしれませんね。
※2019年4月17日夜に障害情報に更新がありました。公式にSpamhausへリスト登録されたことでGmailなどにメールが届かなくなっていると公表しましたね。
情報に記載されているとおり、GMOサイドで解除申請を出しているようですが、大量のIPアドレスがリストインしているものと思われますので、ご自身が割り当てられているIPは、ご自身で解除申請を出されてみることをお奨めいたします。
※2019年4月18日夜に、公式発表によりますと、ほとんどのIPブロックはSpamhausから削除されたそうですが、いまだGmail等にはメールが一部届かないそうです。

【障害発生/クラウドVPS byGMO】一部メール送信障害につきまして

簡単に説明すれば、どうやら、GMOグループで管理するIPが大量にRBLに登録されてしまって、Gmailなどにメールが届かなくなっちゃっているようです。
GMOに限らず、Gmailにメールが送れなくなったサーバーになってしまった場合、読んでおくといいかもしれない文献になりました。

続きを読む

バックアップサーバーの構築

ホームページデータ、メールデータを守る

本日はバックアップサーバーを構築したお話。
と、言っても、サーバー自体はよくある共用サーバーをお借りして、そこにバックアップデータを格納するというだけのもの。
必要条件は

  • 一定以上の容量
  • FTPサーバーが利用できること

の2点。

十分条件は

  • 容量が無制限ならいくらでも追加できる
  • 通信速度が速いほどありがたい
  • その共用サーバー自体がバックアップされているようなサーバーならありがたい

といったところだ。
まだ、顧客もすくないし、とりあえずは小さいプランを契約させてもらい、現在、運用中のWEBサイト、メールの様々なデータをバックアップすることとした。

MONOHDDdrive2013

契約したサーバーは

GMOクラウドは旧アイルだ。
安定稼働で有名なサーバーで。SLA保障100%は、国内随一だろう。
価格的にも決して高くないこのサーバーは、普通にWEBサーバーとしても使えるのだが、贅沢にもバックアップ用途のサーバーとして使う。

次に、バックアップ技術を簡単に紹介しよう。

続きを読む

レンタルサーバー(ホスティングサービス)業者のトラブルについて

サーバー屋さんがトラぶった!だれが悪い?損害補てんは?

過去にホスティング事業を営んだ経験がある私ですが、サーバー屋さんをやっていれば必ずトラブルが発生します。

サーバー屋さんが泣きそうになる!主なトラブル

  • 過負荷
  • 不正なアタック
  • お客様の不備によるトラブル
  • 設定ミス
  • ハードウェアの故障
  • ネットワーク障害
  • クラッカーの不正侵入
  • 情報改ざん

などなど様々なケースにおけるトラブルが発生します。

2013年9月ロリポップが大規模なトラブルが発生したことから学ぶこと

私はロリポップさんをそもそも契約していなかったので被害もなかったのですが、私の後輩がこのトラブルにより大変なことになりました。
ただ、そのトラブルは、ロリポの対応などによりトラブルになったというより委託業者とのビジネス上、契約上の問題という要素が強かったのです。
私はサーバーを扱っていた経験からヘルプがかかったのですが、上記のような問題が大きく、パスワード情報を知らないためサーバーに手を出せないということで後輩のビジネスの業務が止まりました。

ロリポップのトラブルとは?

2013年9月初頭にロリポップレンタルサーバーさんが大きなトラブルが発生、8000人以上に及ぶお客様のWEBサイトがおかしくなりロリポップが全体に影響が及ぶような設定変更を行いました。

WordPressの簡単インストールにおけるトラブル

今回のトラブルは、ロリポップさんがユーザさん向けに提供しているWordPress簡単インストールに関する問題から、インストールされたWordPressのDBに不正に接続しWEBサイトのデータを改ざんするというトラブルだったそうです。

トラブルによるロリポップの対応

ロリポップサイドでは原因を究明した時点で、解決すべく様々な対応を施しました。
まず、原因となったWordPress簡単インストールのリリースを一旦停止(現在は復旧したようです)、次にトラブルの原因となった設定ファイル(config.phpおよびinstall.php)のパーミッションを変更し、外部からの設定変更ができないように設定、そして最後に根本原因となったと思われるFollowSymLinks機能を停止したとのこと。
また、ロリポップサイドはトラブル発生の期間中、インシデント情報をリリースしていたのだが、そのリリース文の表現がWordPressに問題があるような表現だったとのことで事後表現文を変更。
端的に説明すると、ロリポサイドの簡単インストールツールと、パーミッション、そしてFollowSymLinksの設定がアタックしたら改ざんできるような組み合わせになってしまったことが原因だったようだ。
この設定は2009年から続いていたようで、今回大々的にアタックを受けた形になった。

ロリポの対応はまずかったのか?

経験者から見たら、そして私の主観であることを前置きしたうえで、ロリポップが行った対応に関してはおそらくその時点でできる最大のトラブル対応で、実際に数日~1週間ほどサイトが運用できなかった方が数千人いるが、そのほとんどが復旧、また、現在も事後対応を行っているロリポップの対応はまずまずの対応で、おそらく最小の損害で済んでいると推測されます。
規模の大きい業者なので対応速度も速く、復旧、そして、簡単インストールの修正と再リリースも十分な対応速度だったと言えるのではないでしょうか。
ただ、これは、ふだんからなのか、トラブル発生中だったから、利用したことのない私にはわからないが、サポートにチャットでの対応があるが、ほとんど意味がなかった。
先の後輩のトラブルで、ロリポップに事情説明と対応依頼を相談しようと思い利用してみましたが、結論で言うと、事情を聴いた後は100%同様の内容をメールフォームから投げてくれ。
と、再三にわたり担当から返信が来て、チャットツールで解決した事案は0件だった。
そして、そのサポートのメールに対する返信は2~3日後と対応も遅かった。
これは大きなトラブルが発生していて別要件の対応は仕切れなかっただけなのか、普段からこうなのか、わたしにはわからないが、少し残念に感じた一件だった。

ロリポップの本トラブルにおける責任は?

トラブルの発生源がロリポップが制作した簡単インストールツールであることは明確で、ロリポサイドも自分たちの作り方に問題があったと公式にリリースしていることからも、問題の発生源が自分たちであると、ロリポップも認識している。
それでは、仮に本案件により発生した損失がお客さんにあたっとした場合、損害賠償請求は行えるのかということです。

利用規約に損害賠償について書かれている

ほとんどどこのレンタルサーバー業者でも利用規約が定められ掲載されています。
この規約には禁止事項や双方における損害賠償に関する定めなど書かれています。
先に言っておきますが、『知らなかった』ではすみません。
業者がトラブルを起こした際に損害賠償だ!と、言う前に、自分自身がトラブルを起こした場合は、業者から多大な損害賠償を請求される可能性もあるのです。
自分の用途に合ったサーバーはスペックやバージョンだけではなく、利用規約上も用途に合っているかどうかを確認する必要があるのです。
では、今回のロリポトラブルはどうなるのでしょう。
私は法律家でもありませんし、正しいとは限りませんが私はそう考えますということだということをお忘れなく。

損害賠償について

損害賠償についてどのようにロリポップは書いているかと言いますと、ロリポサイドは基本的には責任は負いません。と書いてあります。
基本的にはというのは、ロリポップサイドに重過失があった、もしくは故意に損害を被らせるような行為があった場合のみ損害賠償請求に応じる場合があると書いてあります。
これは、決してロリポップだけがそうなのではなく、ほとんどどのサーバー業者さんも同様でしょう。
そして大事なのは、その額面です。
ロリポップが応じるのは本契約であれば利用金額の1年分まで、お試し期間中なら1ヶ月分までの範囲で応じる場合があると書いてあります。
仮に、1日100万円の売り上げをロリポップサーバーで展開するWEBサイトで計上していて、サーバートラブルにより売り上げが0円になったからと言って、100万円の損害賠償は利用規約上はロリポップサイドは応じません。
どうしても納得がいかない場合裁判ということになりますが、おそらくですがロリポップ側が勝利するのではないかと思います。
なぜなら利用規約には損害賠償に関する定めも明記しており、申し込む際には利用規約を承諾したうえで申し込むようにロリポップは様々なところに明記しています。
それを知って申し込んだはずなのにトラぶったから賠償請求というのは認められませんというのが基本的な考えになるのではと思います。
ただし、先ほど書いたようにロリポサイドに故意または重過失があった場合は別かもしれません。

今回のトラブルは重過失?

さすがに今回のトラブルが故意であるとはだれも思っていないでしょう。
ただ、重過失に該当するのではないか?
と、お考えの方もいるでしょう。
ポイントはやはり『重過失』なのかどうなのかというところです。
重過失とは、その行為(今回の場合は、簡単インストールの仕様)が一般人でも容易に判断するであろうトラブルがわかっているにもかかわらずリリースしたような場合に重過失とみなされるようです。
わかりやすいもので言えば飲酒運転や30km/h以上のスピード違反、赤信号無視などで事故を起こした場合は重過失とみられます。いわば確信犯のようなものでしょうか。
今回のロリポップのトラブルは一般の方が容易に判断できるようなトラブル。。。だったとは言えないのではないでしょうか。
サーバーに携わる者、セキュリティ担当者、ハッカーであれば容易に想像がついたかもしれません。
なので、やはり重過失ではないのか?とも言えます。
ただ、2009年から13年まで大きなトラブルとなることもなく4年以上リリースされていたことを考えると、本当に小さな小さな穴を見つけたクラッカーがアタックを仕掛けてきたものと言えますので、プロでも気づきにくいトラブルだったのかと思います。
おそらく、裁判をしたとしてもそういう判断になる可能性が高い気がします。(もちろん法律家でもないですし、実際に利用もしていないのでそう思うというだけです)

ホスティングサービス利用者はいつも泣くのか?

ほとんどの場合今回のトラブルでもろに影響を被った方は、『じゃあ、俺らは泣き寝入りするしかないのか!いつも業者が強いのか!』と、言われます。
結果だけを見ればそう見えます。
しかし、かんがえてみてください。
月間数百円のサーバーで何万も、何十万も何百万も売り上げを上げているのに、トラブル発生した場合の対応を定めていないことに問題はありませんか?
なぜ泣き寝入りしなければいけないのかを冷静に整理して考えるとそういったことにつながります。
絶対止まらないサーバーなんて言うものはありません。
止まらないサーバーと謳っているサーバーサービスもありますが、それは、機械が止まらないのではないです。
機械が止まってもうごくように二重化したりキャッシュを持ったり様々な方法で止まっていないように見せる機能を持っています。
また、そのようなサービス提供事業者でもお客様の運用における損害を補てんするようなサービスはまず見かけたことはありません。
あるとしたら、特別に契約書を交わす場合くらいではないでしょうか。
どうしてもそこまでしておきたいのであれば、利用規約に承認するのではなく個別に定める契約書を準備して契約してください。
そうすることでもしかしたら認められることもあるかもしれません。
そして、それらよりもっと大事なことがあります。
トラブルはいつか必ず発生するものです。
自然災害と同じで0%ということはまずありません。1%なのか0.1%なのか0.0001%なのか。業者によって違うでしょうし、トラブルの大小も違いますが、いつか必ず発生します。
そのリスクをかんがえ、発生時に自分はどうするのかを考えておかないことが損害を広げたともいえるのです。

トラブル対策とは?

一番大きなトラブルは貴方のホームページに接続できなくなること、メールの送受信ができなくなることではないでしょうか。
原因は何であれ、つながらないというトラブル以上のトラブルはありません。もちろん情報が盗まれたというトラブルはもっと大きいトラブルですが、それはセキュリティ対策をしていないという別次元の原因ですので、今回のこの記事のトラブルではありません。

どんな対策があるの?

トラブル対策は様々な方法があります。
もっとも簡単で実際に発生してもそれなりに復旧しやすいのがデータのバックアップ、復元方法を定めておくことです。
また、そのバックアップも該当サーバーがトラブルを発生しても、影響の受けない場所・業者・機械に保存することが大事です。(ディザスタ・リカバリ)
バックアップ・復元方法を定めてあり、毎日1回でもバックアップを取ってあれば最悪の場合でもバックアップ取得時間に書き戻し別のサーバーで復元可能です。
大事なのは復元方法をしっかりマニュアル化し、日々訓練しておくことでしょうか。
『そんなことやってらんねー』とよくいわれます。
だから、自動かすることもできますし、先ほどのような二重化三重化することでトラブルを軽減することもできるのです。
ただし、それらは費用も掛かります。
仮に売り上げを1日100万円も上げているのに、何も対応していない、トラブル対策費が0円なのであれば、トラぶっても泣き寝入りするしかないと思いませんか?
もっとも良いのがバックアップ、復元ルールを定め実際に何度もテストしいざという時に備えておくことです。
いわば、避難訓練と同じです。
ほかにもありそうですが、これいじょうのいい方法が私には思いつきませんので、思いついた時にまた追記します。

追記

ファーストサーバー事件における内閣官房からの注意喚起文がありました。

そういえば。。。と思い、ファーストサーバーデータ消失事件のことをいろいろ調べていたら、内閣官房情報セキュリティセンターより各省庁に注意喚起文が流れていました。
こちらからご確認!
基本的に、サーバー屋さんはデータのバックアップは保証していないので自前でやらなきゃいけないよっと、各省庁に促して、バックアップ・復旧に関して検討しなさいと注意されていますね。
ファーストサーバーの事件の時はよくバックアップに関する部分を受けてくれないか。。。と話が来ました。
それは、WEBのデータに限らず、メールのデータ、クライアントパソコンのデータ、社内の顧客管理ソフトのデータのバックアップ、そして、事業の継続性が東日本大震災以降騒がれているのもあって、事業の継続性を担保できるようなバックアップ体制という結構大がかりな問い合わせも来るようになりましたね。

ファーストサーバー事件で損害賠償請求をしたらどうなる?

こちらは法律家がおそらくこうならないかな?と書いた記事を見つけました。
こちらから確認!
やはり、規約上、なかなか請求しても損害額満額は取れないようです。

重過失に問えるのか?

この事件で仮に裁判で、重過失を争ったらどうなるのか?
ということを考察された方の記事です。
こちらから確認!
ミスにミスが重なって大事故になったことは事実ですが、法律で定められている重過失とは認められないのではとのことです。
ファーストサーバーに落ち度があったのは間違いのないことですが、それと、重過失と認められることとは別です。
また、損害賠償請求に関し、ファーストサーバー利用規約・約款では、お客様支払額を上限に応じると記載されており、この記載の無効を求める裁判は。。。と記事を興している方が多数います。
しかしながら、重過失と認められない可能性が高いことと、過去の判例からしても、今回のケースで規約条項の無効は退けられる可能性が高そうです。
もちろん、現在のサーバー業界のあり方が絶対正しいとは言いませんが、現状の日本のサーバー屋さんのほとんどが預けてあるデータに関しては無保証であると謳っている状況で、トラブルが発生したときだけ損害額が。。。損害賠償が。。。というのは頂けません。
また、ファーストサーバー社がトラブル後に追記した条項というならまだしも、現在に至るまで数年以上前から条項として組み入れており、ほとんどの方が契約した時点で存在していたものであります。
なので、トラぶってからその条項を争うのはいただけないと感じます。
どうしても納得がいかないのであれば、本来契約前に争って司法の判断を仰いでから契約へと行かなければいけないのではないでしょうか。

自分の経験での利用規約トラブル

私はF社やL社のような大規模なトラブルは経験しておりませんが、小さなトラブルはほぼ毎日ありました。
そのほとんどは、数人のお客さんから連絡があり、復旧した時点で連絡することでほとんどは難を逃れるような程度ですが、1~2年に1度ほど中規模トラブルとでも言いましょうか、数十人単位に影響を及ぼすようなトラブルを経験しております。
その際は復旧に半日ないし1日程度要し、復旧後も事後説明に追われるようなトラブルです。
ただ、私はこのビジネスの運用ポリシーとして、お客様と対峙するようなビジネス展開ではなく、横にいるようなビジネス展開をしたいと常々社員に言っておりました。
こんなプラン作ったから、興味があったら申し込んで!というスタンスというより、いろんなお客様の話を聞いて、こんなプランだったらあなたの会社も利用できません?
という感じでプランニングしてきました。
また、トラブルに関しても、希望される方にはトラブルの解決まで、定期的に電話で経過報告をしたり、緊急でメールだけ使えるように別サーバーにセットアップしたりと、お客様毎に対応の違うやり方で解決してきました。
そんな中でもまれに損害額に関してお話される方がいましたが、やはり私が運用していたホスティングサービスでもF社同様、重過失もしくは故意が認められた場合で、また損害賠償額は支払っていただいた金額を上限にという条項がありました。
結果として、ほとんどのお客様は、【そういわれれば確かにそうだよな。。。ビジネス成り立たなくなるわな。。。】と、おっしゃっておられました。
それからは私は、申込前に必ずそのあたりの件について連絡を入れるようにしました。
あずけたデータは無保証ですよ。トラブルが発生してデータを損失しても責任は負えません。自前で復旧できる手順まで確立できていますか?
と、聞くようになりました。お客様は驚くと同時に、そんなこともしてくれないのか!と、言ってきます。当然です。
一旦キャンセルになることがほとんどでしたが、面白いことに、その後1ヶ月ほどしたら戻ってくるんですね。
なぜかというと、そう言われたことで、お客様はほかの業者の規約・約款を確認するんですね。
しかし、規約や・約款でデータを保証しているところというのはほとんどない(少なくとも私は見たことがない)ので、むしろSLA保証だ返金保証だと書いてある企業がむしろ疑わしいと。
最初に話してくれたあなたが一番信頼できるんじゃないかと思って。。。。
と帰ってこられる方が多かったです。

また、こんなこともありました。
懇意にしていたWEB屋さんが自社で使っているサーバーが毎日のようにトラブルが発生し、死活問題だと。
もちろんそうだと思います。
わたしは、中でなにをやっているのかもちろん知らないですし、ハードウェアはその業者さんが選定し当社で回線をお貸しするような形でお渡ししていました。
ハードウェアを占有しているわけですから100%その会社さんの何かがトラブルになっていると判断しそうお伝えしました。
また、ちょうさしてくれといわれましたので、調査したところ、CPUの使用率やメモリ使用率などを確認する限りでは明らかなスペック不足、安定稼働させるには今の1/10ほどの負荷にしないと安定しないだろうと思いそうお話しました。
また、当時の私の会社では受け切れないと判断し、もう少し大きな会社さんに移転されたほうがいいとアドバイスさせていただき移転していただくことにしました。
その時に、移転先サーバー業者の担当営業マンがデータの保証をしてくれたとお話していました。
すこし怪訝なはなしだな。。。と思って、契約書を見せていただきましたが、契約書ではデータは無保証、損害賠償については支払額を上限にと、通り一遍のいつも通りの契約書でした。
社長さんに、書面は確認して判を付いたのか?そのあたりの話を証明できる材料は?
と、ききますと、めんどうくさそうに、なんとかなでしょ。担当がそういったんだから。
とおはなししておられましたので、私はこれ以上言うことがないと思いそれからは何もお話しておりません。
もし賠償請求級のトラブルが発生したときもめるだろうな。。。でも、契約上私は一切関与していないですし、法律家でもないので何もしてあげられません。。。
数か月後に、助けてくれとれんらくがきたのですが、もう手が出せない状況になっていました。パスワードも知らないですし、それこそ契約上関与してはいけないと思いますし。
まだ、データ損失はしていませんが、現状聞いている構成ではいつか損失が出そうですし、損害が出るレベルのトラブルは必ず発生しそうです。
その時にその2社間でどのような話がされるのか、結果どちらの主張が通るのか気になります。