その理由がその後判明している。クラウドが全般的にブラックボックスの形態をとっており、EC2を使っている顧客も、DDoSなどのトラフィックを実際に見ることができないことがその理由の一つ。Amazonは今後ネットトラフィックの情報を顧客に公開できるようにするとBitbucketに約束しており、また、Elastic Load Balancing and Auto-Scalingなどのサービスを購入すれば、今回のような攻撃は事前に防げた。が、もう一つの問題は、EBSが、なんと、外向けのネットワークインターフェースに位置しているということだ。
AmazonのEC2は、今年開催された国際的なセキュリティ専門家会議 Black Hat USAの、Haroon Meer氏、 Nick Arvanitis氏、Marco Slaviero氏の3名の研究者による「Clobbering the Cloud!」という講演でもその問題点が指摘されていた。筆者とのメールインタビューでMeer氏は、「我々のプレゼンでも、万が一こうした問題に遭遇した場合、顧客はクラウド・プロバイダの慈悲にすがるほかないということを指摘している」と答えているが、BitbucketのDDoS事件がなければ、EBSが外向けのネットワークインターフェースに位置しているということも発見されなかったのも確かだ。
「Clobbering the Cloud!」のプレゼンでは、Amazon.com、salseforce.com、MobileMe、SugarSyncの弱点が多数発表されていた。本稿では、Amazon.comとMobileMeの攻撃手法を紹介する。
