Cloudflareが「24時間以内に1800万円の支払いに応じなければサイトを閉鎖する」とユーザーに通知後、実際に全ての設定を削除してしまう
Cloudflareの月額200ドル(約3万1000円)のBusinessプランを何年間も契約していたユーザーが、突然Cloudflareから「24時間以内に12万ドル(約1880万円)支払ってEnterpriseプランにアップグレードしなければドメインを削除する」と要求され、実際に契約が解除されて全ての設定が削除されてしまったとブログに投稿しました。
Cloudflare took down our website after trying to force us to pay 120k$ within 24h
ブログを投稿したロビン・デヴ氏は月間アクティブユーザー数が400万人を超える大規模なオンラインカジノのシステム運用エンジニアです。当該カジノサイトでは2018年からCloudflareのBusinessプランを契約しており、静的コンテンツをキャッシュするCDNおよびDDoS攻撃からの防御という一般的な使用方法でCloudflareを利用してきたとのこと。
デヴ氏は2024年4月19日(金)に下記の通りのメールをCloudflareから受信しました。
あなたのCloudflareアカウント設定に我々のネットワークに影響を与える可能性のある重大な問題が存在しています。
緊急事態のため、弊社までご連絡ください。状況をできるだけ早く解決するために話し合うことが非常に重要です。
月曜日の午前11時(グリニッジ標準時)に電話をかけることはできますか?
メールはビジネス開発部門の担当者から送信されていましたが、実際に会議に現れたのは営業チームで、何も「重大な問題」について報告することなくEnterpriseプランを検討しないか尋ねたとのこと。デヴ氏は戸惑いながらも丁重にお断りの返事をしました。
2週間後の2024年5月3日に、Cloudflareはまた別のメールを送信しました。
定期的な監視活動の中で、お客様のアカウントがドメインローテーション活動、つまり第三者によってお客様に設定されているブロックを回避または回避する活動に関与しているという情報を入手したため、当社はお客様のアカウントとドメインを注視しています。
この目的でのCloudflareサービスの使用は固く禁止されています。アカウントとドメインが何に使用されているかに関する情報を48時間以内に提供してください。
この通知に応答しなかった場合、またはその他の対応をしなかった場合、アカウントが停止される可能性があります。
今回問題となっているサイトはカジノを取り扱うサイトであり、国ごとに異なる規制要件に対応するため複数のドメインを利用していたとのこと。とはいえ、トラフィックの95%以上はサイトの設立以来変更されていないメインドメインで受信しているため、「複数のドメインでの利用が問題なのであればサブドメインをCloudflareから削除するなどの方法で喜んで対応する」とデヴ氏は述べています。
実際、デヴ氏はCloudflareにサイトのドメインに関する情報を共有し、Cloudflareに問題のより詳しい情報を尋ねるとともにカジノサイト側から誰が関与すれば良いのかを明らかにしようとしましたが、Cloudflareは電話会議の日付しか返信しなかったとのこと。
デヴ氏は2024年5月7日に「信頼と安全(Trust and Safety)」チームと会議することになりましたが、当日現れたのはまたしても営業チームだったとのこと。営業チームは「多数の優れた機能を備えた月額1万ドル(約157万円)の素晴らしい契約を提供できる」と言うばかりで、利用規約の問題や解決方法についての言葉はありませんでした。営業チームは24時間以内に契約書に署名することを求め、年間契約1年分の前払いとして12万ドル(約1800万円)の支払いを求めました。
電話会議の後、営業チームがデヴ氏に送信したメールは下記の通り。「Enterpriseプランの機能を並べて月額1万ドル(約157万円)を要求する」という内容について、デヴ氏は「ドメインについての責任を回避するためにユーザーのIPアドレスを持ち込むBYOIPを要求するのは理解できるものの、その他の機能は必要ない」としてカジノサイトのCEOやCTOに問題をエスカレーションし、他の条件での契約が可能かどうかを探りましたが、Cloudflareは他の選択肢を提供しませんでした。
2024年5月16日の電話会議にてカジノサイトのCEOがCloudflareの営業チームに競合サービスとも交渉中であることを伝えると、数時間後にCloudflareがカジノサイト関連ドメインを全て削除してしまいました。DNSレコードやキャッシュ設定、レート制限、ホワイトリストなどCloudflareで行っていた設定が全て削除されてしまったとのこと。
すぐにCloudflareに問い合わせのメールを送ったものの返信が無かったため、カジノサイトのシステムチームはFastlyへメインサイトを移行しました。移行作業は数時間で完了したものの、DNSエントリの変更には1時間から48時間かかっており、影響は大きかったとのこと。
Cloudflareからは問い合わせのメールに対し、「『Trust and Safety』チームが担当するので『Trust and Safety』チームから返信があるよ」というメールが送られてきたものの、2024年5月26日時点ではまだ返信されていない模様。
エンジニアが集うニュースサイト「Hacker News」では今回の問題に詳しいユーザーが自身の分析結果を投稿しています。投稿によると、「一部の国・地域はギャンブルサイトを独自に規制しており、ギャンブルサイトをホストするIPアドレスは一部のプロバイダからブロックされる場合がある。こうしたブロックはIPアドレスの評判スコアに影響し、Cloudflareなど複数のユーザーのトラフィックを扱う業者は他のユーザーに影響を与えてしまう」とのこと。そのため、Cloudflareはカジノサイトに自身のIPアドレスを使用する機能であるBYOIPを利用してもらう必要があったというわけ。
投稿ではCloudflareのコミュニケーションを「驚くべき失敗」と評価しており、「Enterpriseプランが本当に気に入ると思います」というメッセージではなく「EnterpriseプランでBYOIPを使用しなければBANします。価格については相談に応じます」と顧客に問題が何であるかを正確に伝えるメッセージを送るべきだったと述べられています。