ハクソク

世界を動かす技術を、日本語で。

Cloudflareについての考察

240日前原文(xn--gckvb8fzb.com)

概要

  • Cloudflare のインターネットにおける役割と影響についての批判的考察
  • 独占的地位 やセキュリティリスク、プライバシー問題への懸念
  • 代替CDNサービスの紹介と利用推奨
  • 自社ドメイン管理やCloudflare依存からの脱却方法の提案
  • Cloudflare の社会的・倫理的課題への警鐘

Cloudflareの役割とインターネットへの影響

  • Cloudflare は、インターネットの大部分を支配する オリゴポリー(寡占) 化の進行

  • 他人のサーバーに依存する「クラウド」の概念自体への懐疑

  • VPNやTorユーザーに対する CAPTCHA 乱発による利便性低下

  • 「もう一歩」ページの普及により、ユーザーの警戒心が鈍化し、 マルウェア攻撃 への脆弱性増大

  • 「革新的なクラウドインフラ」の名のもと、 フィッシング や不正トンネリングも容易化

    • Cloudflareの セキュリティ対策 自体も、悪意ある利用者によって回避可能
    • 顧客保護を謳うが、自社インフラ自体の防御にも苦戦

  • 国家支援型攻撃 の標的となりやすく、度重なる侵害事例

  • インターネットの大部分を担う規模ゆえ、障害発生時の影響は甚大

プライバシー・倫理面での懸念

  • SSL終端プロキシ としてユーザーとWebサイトの間に介在し、全通信内容を閲覧可能

  • Cloudflareが データ収集の温床 となりうる危険性

  • 「Cloudbleed」事件により、 個人情報漏洩 や通信内容流出のリスクが顕在化

    • プライベートメッセージ、パスワード、クッキー、IPアドレス等の流出実例

  • Project Honeypot や米国国土安全保障省との関係性への不信

    • 初期段階で 攻撃情報の売却 経験
    • 商用化のきっかけとなった経緯

  • 雇用環境の問題や経営者の 社会的トラブル も指摘

    • セールス部門の ハイヤー&ファイア 文化
    • CEOによる近隣住民との訴訟・ロビー活動

市場支配・政治的立場の問題

  • インターネットの 20%以上 をコントロールする市場支配力
  • 政治的に敏感な案件に対して 曖昧な対応 や利益優先の姿勢
  • 「世界最大のボットネット運営者」と揶揄される側面
  • テロリストやドラッグトラフィッカーへの サービス提供疑惑
  • オープンソース開発者への 厳しい対応 との対比

技術的な課題と代替案

  • Cloudflare のエンジニアは優秀だが、 ダウンタイムやミス も多発

  • デフォルトや唯一の CDNソリューション とみなすべきではない

    • 自社で Varnish 運用が困難な場合は、他の CDN を検討
      • BlazingCDN、BunnyCDN、CDN77、CDNetworks、CacheFly、DigitalOcean Spaces、Fastly CDN、KeyCDN、Netlify Edge、Vultr CDNなど
    • 利用中のホスティングサービスが Cloudflare を利用していないか確認

  • ドメイン登録も分離管理を推奨

    • CDNやホスティングと ドメイン管理 を分離し、迅速な切替を実現

  • Cloudflare Workers などの高度なサービスからの移行は困難

    • Vercel、Fastly、AWS、Azure、Akamaiなどの他プロバイダー利用や 再設計 が必要

Cloudflare利用サイトの識別・回避方法

  • Cloudflare 利用サイトの判別用ブラウザ拡張機能(Firefox/Chrome)を活用

    • ただし、拡張機能自体がCloudflareに 行動情報を送信 する可能性
    • サードパーティ製や古い拡張機能も存在

  • Decentraleyes 等のプライバシー強化拡張も推奨

総括と今後の課題

  • Cloudflare は時折有益な取り組みもあるが、 現代インフラの中核 として「大きすぎて潰せない」存在に
  • 競争促進分散化 のため、依存度を下げる努力が不可欠
  • サイト運営者・利用者ともに、 選択肢の多様化 とリスク認識が求められる

Hackerたちの意見

Cloudflareは国家による攻撃の魅力的な標的になっていて、繰り返しの侵害を受けている。彼らがインターネットのかなりの部分を支えていることを考えると、ダウンや侵害が起こると広範囲にわたってコストがかかる影響が出るかもしれない。これが「攻撃」と呼べるのか、むしろ「現地の法律に従っている」と言った方がいいのか、よくわからない。敵対的な国でも運営できるようにしているからね。顧客データのセグメント化も十分じゃないし、これを軽減する手段もない。Cloudflareは、地域サービスを実際には強制していないとも公式に言っていて、顧客自身がそれをやらなきゃいけない。残りの顧客にはそれ以下の保証しかない。楽しんでね、三文字の機関たち。 https://developers.cloudflare.com/data-localization/limitati... > 地域サービスはホスト名のIPで動作します。DNS応答が安全で正確であることを保証するために、DNSSECやHTTPS経由のDNSの使用を推奨します。もちろん、Cloudflareが同じDNSSECキーを10年以上使っていることを考えると、これは面白いことだ。BGPハイジャックや類似のMITM攻撃についても言及していないけど、Cloudflare以外にはそれに対抗できる手段があまりないからね。

「現地の法律に従う」って、必ずしも良いことじゃないよね。現地の法律に従うために報告しなきゃいけない行動がいくつかある国もあるからね。例えば、* 誰かが同性愛者であること * 誰かが婚外セックスをしたこと * 誰かが共産主義者であること * 誰かが右派であること * 誰かがムスリムであること * 誰かがムスリムでないこと * 誰かが現 ruler を悪く言ったこと * 誰かがメッセージサービスを運営してて、ユーザーにIDのコピーを求めなかったこと みたいな。

著者は「cloudflareは悪い」と主張するために、意外と多くの証拠を持っている。でも、彼の代替案はすべてCDNプロバイダーで、Cloudflareのユニークさや収益源とは関係ない。記事は徹底しているけど、彼らのビジネスの面白い部分をカバーする製品の代替案は提示していない。例えば、tailscaleやPangolin(Cloudflareトンネルのオープンソース代替)やサーバーレス/エッジコンピュートの同等品とか。これだと、著者がCloudflareの役割や立ち位置を本当に理解していないように感じるし、この記事は会社の(正当な)欠点を報告するリンクの集まりに過ぎない。例えば、彼らのワーカーズプラットフォーム、DDoS保護、ソフトウェア定義ネットワーク機能(WAN、ファイアウォール、ゼロトラストなど)は、私が最近の役割で開発者として非常に生産的で成功するのに役立った。そして、これらのサービスから移行するのもサインアップするのと同じくらい簡単だった。私がCloudflareを擁護しているように聞こえるかもしれないけど、そうではない。彼らがインターネットの多くをMITMする独占企業になることに対する著者の懸念には同意する。でも、著者はその主張の証拠を提供していない。私の経験は逆で、Cloudflareはレガシーシステムや他のクラウドプロバイダーとロックインせず、競争的な手法を使わずに相互運用してくれた。彼らの存在は、他のベンダーが応じなくても統合を改善することが多かった。人々が「カリフォルニアホテルから出られない」からではなく、本当に役立つからサービスに集まるのは独占ではなく、市場の好みだ。とはいえ、革新が停滞したり、リーダーシップが貪欲になるリスクは確かにある。革新を止めた企業は、 relevancyを保つために攻撃的または搾取的な手法に頼ることがある。企業が大きくなりすぎて死ねなくなると、革新が停滞し、フライホイールが遅くなり、 relevancyを保つために必死(または貪欲)になるのがトレンドのようだ。警告を発する前に、そういった兆候を監視するべきだと思う。

インターネットは政府の意向で動いている。すべての政府(国、地域、地方)には従わなければならない規制がある。住んでいる場所によっては、その規制が最も影響を受ける人々から秘密にされていることもある。Cloudflareのような存在は、協力的に使われるか、規制を強制する側に非協力的に悪用されるかの魅力的な標的だ。だからCloudflareは一つの問題(DDoS)を解決したけど、新たにいくつかの問題を生み出している。多くの人はそれを公平な取引だと感じているが、完璧な世界ではなく、完璧な解決策もない。

まさにその通り。CDNはCloudflareを使わない唯一のことだ。ウェブ開発者として、彼らのPagesやWorkers機能を使って無料で静的サイトを簡単に立ち上げられるのが大好き。もちろん、小さなサーバーを借りたり、自宅でプロジェクトをホストすることもできるけど、しばしばシンプルで速くて手間いらずなものが欲しいだけで、Cloudflareはそれをゼロコストで提供してくれる。この便利さが私を彼らにお金を使わせることになったのか?もちろん。最近では、DNS管理もCloudflareに頼っている。彼らのインターフェースと全体的な体験が、以前使っていたものよりもはるかに良いからだ。とはいえ、私は無批判にこの会社を擁護するためにここにいるわけではない。存在する正当な懸念や批判を認識している。でも、どのプラットフォームにも欠点はあるし、ある状況では理想的な見方を優先できないこともある。時にはただ実験して作りたいだけで、Cloudflareはそれを簡単にしてくれる。

私はCloudflareをバックエンドとして使っていて、ワーカーズだけを使用している(彼らのセキュリティ、パフォーマンス、キャッシングなどの機能はすべて無効にできる;実際にはただのワーカーだ)。その製品(ワーカーズ)は差別化されていて、同等のものを提供している会社やサービスはないと思う。でも、著者の不満はそこではないと思う。私は頻繁にCloudflareのキャプチャを受け取るので、自分のサイトのために彼らのファイアウォールを無効にした(本当にゴミだから)。Cloudflareは、あなたが言ったサービス(ワーカーズ、トンネル、画像など)に対して独占的ではないけど、DNS/CDNに関してはある種の独占を持っている。

2025年に書かれた著者が「世界最大のボットネット運営者としての地位を維持するために」と言って、2020年第1四半期のSpamhausのレポートにリンクを貼っているのはかなり残念だ。[0] Spamhausの最新バージョン(2025年1月から6月)をチェックすると、Cloudflareはどこにも見当たらず、彼らがCloudflareの代替として推奨するDigital Oceanが世界で3番目に大きいボットネットホストとしてリストされている。歴史的なレポートを振り返ると、これは新しい現象ではなく、2022年第4四半期にはDigital Oceanが2位で、Cloudflareは17位だった。[0]https://www.spamhaus.org/resource-hub/botnet-c-c/botnet-thre... [1]https://www.spamhaus.org/resource-hub/botnet-c-c/botnet-thre...

悲しいよね。この投稿は、オリゴポリーやモノポリーのネガティブな側面で終わる段落になりそう。そういうのは避けるべきだと思う。それ以外では、Cloudflareほどの代替はあまりないよ。重いDDoS攻撃を受けたら、大きな請求書で破産するか、長時間のダウンタイムを経験するかだし。この主要なサービスがリストに載ってない理由がわからない。特にニュース機関が厳しい時期にDDoSフリーを提供してるところなんて地球上にないよ。

うん、同意するよ。投稿の反独占的な精神はいいけど、そんな文や「大手クラウドサービス」を代替として推薦するのを読むと、ちょっとヒットピースっぽくなってきちゃうね。

一度、クライアントのために多くのウェブプロパティをCloudflareから移行しなければならなかった。彼らは何年も多くのクライアントのためにCloudflareを使っていたエージェンシーで、CEOが政治的な理由でCloudflareを使わないと公言した(Cloudflareがいくつかのナチス系ウェブサイトにDDoS保護を提供していて、それを削除しなかったというニュースがあった)。私の結論は、基本的に人々がCloudflareを多く使うのは、強力なサービスであり、非常に低価格で多くのことを提供しているからだということ。ちょっとGmailみたいで、非常に便利で、無料または非常に安価で多くのことを提供している。これだけの規模での切り替えは、彼らの月額請求書を大幅に増加させた。CloudflareやGmail、Chromeなどの主要サービスの代替を作るために努力する人々を称賛する。でも、個人としてはそれをするのは難しいこともあるし、少なくとも常に最も抵抗の少ない道ではない。

とても良い投稿だ。Cloudflareは、彼らのクラウドサービスにサービスを継続的に追加していて(最新はメール配信)、まるで「切り替え不可能にしよう」とするパターンだ。

会社が役立つ製品を作り続けるのは全然問題ないと思う。Cloudflareにとって、メール配信はかなり自然な次のステップだったね。

現在、私は何度目かの挑戦中なんだ。- 個人用の小さなサービスを展開したい - たまにリクエストがある(1日約10件くらい) - 毎日のイベントに応答する必要がある:たまにCRONジョブ、メールを読む、Webhook... よりシンプルなZapierみたいなものを考えてる。原則的には、これは多くのクラウドファンクションプロバイダーにとって完璧なんだけど、私の知る限り、どれもビジネスモデルにベンダーロックインが組み込まれてて、妥協するつもりはないんだ。エッジコンピューティングエコシステム(またはプロバイダーが呼ぶ何か)にロックインされずに、まだメリットを得る方法ってあるかな?特定の提供に縛られない標準をサポートしてるプロバイダーはいる?

自分のサイトではCloudflareを使ってるんだけど、サーバーがIPv4を持ってないからなんだ。もし全てのISPがネットワークの知識をアップデートできれば、Cloudflareを外せるんだけどね。保護レベルは一番低い設定にして、無駄なキャプチャを引き起こさないようにしてるよ。

ゆっくり進展してるね。世界中でGoogleへのIPv6トラフィックがほぼ50%に達しそうだよ。国によっては、トラフィックのパターンによってもっと高いかもしれない。70%以上のIPv6トラフィックを持つ国もあるし。アクセスログをチェックして、IPv6専用に切り替える準備ができてるか確認したことある?

本当に必要なのは、もっとIPv6の展開だと思う。そうすれば普通の人たちがたくさんのルーティング可能なアドレスを持てるし、昔みたいに自分たちが物理的にコントロールできるコンピュータでエッジにもっとホスティングできるようになる。家庭に一般的に配備されているPONファイバーの帯域幅は十分すぎるし、余分な遅延は関係ないよね。確かにDDoS攻撃には弱いかもしれないけど、何千万もの人が自宅から個人やビジネスのシステムを運営してたら、中央集権的な企業に依存するよりも抵抗力があるかどうかは議論の余地があると思う。

「自宅」や「オフィス」からサーバーを運営するのは、ほとんどのビジネスにとって高すぎると思う。バッテリーのバックアップや、インターネットプロバイダーの複製、DIYのNOCにお金を払うのは、特にブログを公開したりコードを書くための小さなサイドプロジェクトには多すぎるよ。

要するに、「みんな捕まえられないから無防備でいよう」っていう理論で人々に行動を求めてるってことだよね。魚の群れみたいに。そんなのうまくいかないと思う。インターネット攻撃は自動化できるから、ビジネスには本当の防御が必要だよ。

実は、著者が挙げた代替案を全部見てみたんだけど、問題はどれもCloudflareには敵わないってこと。Cloudflareはクレジットカードを提供する必要もなくて、ウェブサイトを設定するだけで「無料」でずっと使えるんだ。もしトラフィックがPB単位になったら有料プランに切り替えるように圧力がかかるかもしれないけど、それまでは無料でコンテンツを配信してくれる。これは大きなアドバンテージだよ。特に主要なクラウドプロバイダーの出口料金を考えるとね。

まったくのデタラメだね。このリンクされた記事はどれも間違ってるか、誤解を招く内容だよ。Cloudflareはフィッシングを助長してるわけじゃなくて、プロキシやトンネリングを簡単にしただけ。言及されている侵害やバイパスは、攻撃者が何か価値のあるものを手に入れたかのように成功した攻撃の緩和にリンクしてるだけだし。この全体の記事は、証拠を自分たちのアジェンダに合わせようとしてる匂いがする。実際の問題の証拠を見つけられなかったから、誤解を招くことに頼らざるを得なかったっていうのは、Cloudflareを使う大きな理由だよ。

シニアを狙った明らかなフィッシング攻撃をCloudflareに何度も報告してきたけど(今のところずっとCloudflareだった)、一度も「これはフィッシングだと判断できませんでした」以外の返事をもらったことがない。彼らは無行動によってフィッシングを助長してるよ。

どんなインフラも悪用される可能性があるけど、それが正当な使い方を否定するわけじゃないよ。実際、Cloudflareのような無料サービスの人気のおかげで、ネットワークセキュリティの敷居が大幅に下がったんだ。