サークルスクエアの障害を見て、Webサービスの利用について利用者の立場から考えてみた
2万を超える団体が使用しているとされる「サークルスクエア」というコミュニティ運営サービスがあります。
そのユーザー数は公式サイトによると49万ユーザーとのこと。
このサービスにおいて、2017/10/09にDNS障害が発生し、2017/10/14現在も完全復旧には至っていません。
私もこのサービスを利用していたのですが、その初期対応を見ていて、利用者の立場でどのようにWebサービスを選べばいいのか改めて考える機会になりました。 今後、Webサービスを選ぶときの注意点について考えてみたいと思います。
サークルスクエアの障害とは
サークルスクエアの障害について、その概要を利用者の立場からわかる範囲で想像してみます。
障害が発生した状況
まず、サークルスクエアにアクセスしてみます。
10/09から以下のような画面が表示されるようになりました。
この画面を見ると、「c-sqr.net」というドメインに対してアクセスしようとすると、そのドメイン名の名前解決ができていないように見えます。 つまり、入力されたドメイン名に対応するWebサーバーのIPアドレスがわからず、Webサーバーに到達できない状況です。 (実際、サークルスクエアの公式とされるTwitterやFacebookでは、サーバーは正常に稼働しているが、DNSが解決できないという報告がありました。)
上位機関による利用制限
また、whois情報を調べてみると、以下のように表示されました。
これを見ると、2017/10/09 14:47:25に最終更新が行われています。 また、ドメインのステータスが「clientHold」となっています。 これは、上位機関による利用制限を表しています。
実際、ドメインを保有していると、ときどき以下のようなメールが届くことがあります。
このようなメールが届いたときに何も手続きを行わないと、上位機関によってドメインが停止される可能性があります。
今回は、サークルスクエアのサーバー管理者がこのメールを見落としたか、手続きを怠ったことが想像されます。
今回の初期対応における問題点
今回、多くの利用者が不満を持っているのは、その初期対応の遅さです。 サークルスクエアのサイトが停止したのが10/09ですが、公式とされるTwitterなどで最初に情報が公開されたのは、10/10の12時を過ぎてからでした。
【ご利用ユーザーの皆様】現在、サークルスクエアの DNS という仕組みにおきまして、接続障害が発生しております。鋭意調査を進めております。ご迷惑おかけして申し訳ございません。
— サークルスクエア公式 (@c_sqr) 2017年10月10日
セキュリティ警告の無視を呼び掛けた
そして、その後の対応も信じられないものでした。 夜にはIPアドレスを公開し、直接アクセスすることを呼びかけたのです。 当然、SSL証明書とドメイン名が一致しないので、セキュリティ警告が表示されます。 この警告を無視して利用するようにというのは、適切とは言えません。
【サークルスクエアご利用中の皆様】暫定的に https://54.65.24.11/ からアクセスいただくことで、メール配信等を除く一部機能がご利用可能です。
— サークルスクエア公式 (@c_sqr) 2017年10月10日
※ 上記 URL ではセキュリティ警告が表示される場合がございますが、警告を無視する形でお進みください ※
これでは通信を暗号化することはできても、フィッシング詐欺など悪意を持って設置されているサーバーなのか判断する術がありません。 「サークルスクエア公式」を名乗っているTwitterアカウントですが、公式の認証も受けていませんし、乗っ取られているか判断できません。
異なるドメインでの暫定運用
さらに、10/13になって別ドメインを取得し、暫定運用を始めました。 このような類似ドメインをこの時点で取得することにも疑問を感じます。 多くの企業では、似たようなドメインはすべてサービス開始当初の段階で抑えています。 似たようなドメインはフィッシング詐欺に使用されることが多く、このようなリスクを抑えておくことが必要です。
【別ドメインで暫定運用を開始 その1】アクセス障害に関しまして、ドメイン登録の事業者様との調整が長引いているため、別ドメイン https://t.co/1GkWwB6ip1 でサービスの暫定運用を開始しました。
— サークルスクエア公式 (@c_sqr) 2017年10月13日
このドメインを取得したのが10/13になってから、というのも対応の遅れが見えます。
利用者のできる対策
利用者としてサービスを選ぶときにどのような判断が可能なのでしょうか?基準として、どのようなものは挙げられるのでしょうか?
そもそもサービスに障害が発生していない状態で、その提供者が適切な対応を取ってくれるか、という判断は困難です。 では、利用を開始する際に、どのような基準があるのか考えてみましょう。
過去の障害情報を見る
過去にどのような障害が発生し、どのように対応されたのかを見ることは重要です。 わかりやすい例がレンタルサーバーの事業者です。 代表的な事業者のサイトでは、必ずと言って良いほど、障害情報が公開されています。 この情報を見ることで、障害情報を把握できます。
今回のサークルスクエアの場合、信じられない投稿がありました。 Facebookでの投稿として、以下のような内容が書かれたのです。
「なお、本投稿は臨時措置のご案内のため、復旧後に削除致します」
つまり、障害が解決した後には、障害情報を消してしまうということです。 たしかに、IPアドレスで直接アクセスされるURLが記載されているのは問題があるかもしれませんが、障害情報がわからなくなるのは問題です。 Webサイト上にも障害情報が公開されていませんし、このような対応は不適切であると言わざるを得ません。
過去の障害情報を掲載しているサービスであれば、その対応内容を後からでも確認でき、選ぶときに安心できる材料になるでしょう。
証明書の内容を確認する
最近はURLがhttpsになっていることを確認することは当たり前になっていますが、それだけでは信用できません。 フィッシング詐欺サイトでもhttpsのサイトが増えていますので、証明書の種類を確認することも必要です。 銀行などではブラウザのURL欄が緑色に表示されるEV SSL証明書を使用しているサイトが増えています。
今後、一般的なWebサービスでもこのような対応が増えていくかもしれません。
運営元の体制を知る
サービスを選ぶとき、そのサービス内容だけに注目するのではなく、運営元の体制を知ることも必要です。 個人が運営しているのか、企業が運営しているのか。 そもそもその企業は実在するのか、どれくらいの体制が用意されているのか。
今回のサークルスクエアを運営しているのは「XITYZ」という会社のようです。
従業員数は8名と書かれていますが、50万人近いユーザーがいるサービスとして、十分なのか考える必要がありそうです。
まとめ
上記で問題点と対策などを考えてみましたが、改めてサービス運営の大変さを感じるとともに、利用者がサービスを選ぶ方法も難しいと感じました。 利用者の立場でできることは限られていますが、サービス提供側の姿勢に注目し、選ぶ側もなんとなくで選ぶのではなく、明確な基準を設定して選んでいかなければならないと再認識しました。
今回のサービスにおいて、利用者の多くは無料で利用していると思いますが、今回のような場合は有料会員も同じように使えない状況が続いています。 当然使えない期間の費用などについて、返金などの対応が行われると思いますが、有料であってもそのサービス稼働率などを確認することも必要かもしれません。
