LeCab

LeCabはCloudflareのRate Limitingを利用して、わずか2時間で90万回のログインページ攻撃をブロックしました。

le-cab-graphic

[LeCab](https://en.lecab.fr/)はパリでトップクラスのプライベートドライバーサービスを提供しています。2012年創業の同社は、パリ市民に、快適で信頼性に優れ利用しやすい料金のタクシーや自家用車に代わるサービス提供したい、というシンプルな発想で設立されました。

LeCabの課題:大きな成長が招いた大規模攻撃 LeCabのCTO、Tobias Rohrle氏は「ある日、サイトの速度が遅くなり、使用できなくなるという攻撃を受けました。」と話します。「弊社のホストは帯域幅を増やしましたが、攻撃規模の大きさゆえにそれすらも圧倒されてしまいました。あまりに巨大な攻撃で、IP数が膨大で、当社では、この違法トラフィックの発生源と思われる国々をブロックしたものの、攻撃の威力は圧倒的でした。不幸なことに、この攻撃は一度では終わりませんでした。このような古典的なDDoS攻撃は、再度繰り返されることはわかっていました。ですので、急いで保護を追加し、完全なソリューション探しを開始しました。」

Rohrle氏は続けて、「6か月後には、さらに大規模で暴力的なログイン攻撃を受けました。このときは、インフラストラクチャの故障がなかったため、気がつくまでに数時間かかりましたが、この度の攻撃は正規ユーザーになりすまして侵入を試みるものでした。アプリへのログイン時間が長くなった理由を調査するまで、攻撃を発見することができませんでした。攻撃者が膨大な数のログインとパスワードの組み合わせを試してアカウントへの侵入を試みていたことが、後でわかりました。Uberが2016年末にハッキングを受けており、Uberの攻撃者は盗難したログイン資格情報で弊社のデータベースへの侵入を試みたのだと、私たちは考えています。もし、このような攻撃の1つでも成功していたら、私たちのビジネスは壊滅的な影響を受けていたでしょう。このような事が再び起こったときのために、適切な保護対策を用意しておく必要がありました。」と語っています。

LeCabのソリューション:強力な保護とRate Limiting Rohrle氏は、「フランスの競合企業も同じ攻撃を受け、その企業がCloudflareを使って攻撃を阻止したことを知り、弊社でもそのソリューションを調べてみました。初回の攻撃を受けた夜に、実際にCloudflareの無料プランを設定したところ、すぐにこのソリューションの効果が現れました。弊社Webサイトは数時間内に復旧し、無料プランであるにも関わらず、目の前で起こっている攻撃もきちんと阻止してくれたのです。」と話します。

「仮にもっと規模の大きな攻撃を受けた場合には、攻撃によるパフォーマンスの低下からインフラストラクチャを保護することと、さらに重要な、弊社の重要な顧客データを盗難から保護することの、両方に対応できるソリューションが必要だということはわかっていました。CloudflareのRate Limiting付きEnterprise Planは、攻撃緩和策をソフトウェアレベルからCloudflareのエッジレベルに引き上げる、弊社にとって完璧なソリューションです。Rate Limitingで、わずか2時間で90万超のログイン試行をブロックしました。Cloudflareの保護がなければ、最初に遭遇したような攻撃に再度見舞われたであろうことは間違いありません。」

Rohrle氏は最後に、「Cloudflareは顧客のデータの安全性を十分に確保してくれ、弊社のサーバーが悪意のあるトラフィックの攻撃を受けずにパフォーマンスと信頼性を保てるようにしてくれています。」と語っています。

LeCab
関連導入事例
関連製品

“Cloudflareは当社と当社の顧客に安心感を与えてくれます。Cloudflareは顧客のデータの安全性を十分に確保してくれ、弊社のサーバーが悪意のあるトラフィックの攻撃を受けずにパフォーマンスと信頼性を保てるようにしてくれています。”

Tobias Rohrle氏
CTO