ハクソク

世界を動かす技術を、日本語で。

誰か「Cloudflare」が「Canonical」を脅迫したかどうか説明してくれませんか?

2026年5月12日原文(flyingpenguin.com)

概要

2026年4月末、 Canonicalの主要Webサービス が大規模DDoS攻撃で 約20時間ダウン。 攻撃の背後には Beamedという商用DDoSサービスCloudflareの複雑な関与。 攻撃後、Canonicalは Cloudflareを一部導入 し、主要リポジトリを保護。 身代金要求の証拠は無し、だが 攻撃サービスと防御サービスの同居 が問題視。 攻撃・防御インフラの 運用者や関連企業の変遷・ネットワーク構造 も追跡。

2026年4月 Canonical大規模DDoS攻撃の経緯

  • 2026年4月30日16:33:37 UTC、Canonicalの監視システムが blog.ubuntu.comのダウン を検知
  • 10分以内に ubuntu.com、本社サイト、API、開発者ポータル、トレーニングプラットフォーム など 全社Webが停止
  • 約20時間後2026年5月1日12:44 UTC に復旧
  • 攻撃は Beamed(商用DDoSサービス) によるものと判明
    • Cloudflare回避技術 を宣伝
    • Cloudflare自体が攻撃・防御両方のインフラ を提供
  • 攻撃者は Islamic Cyber Resistance in Iraq(313 Team) を名乗る親イラン系グループ

BeamedとCloudflareの関係、攻撃の仕組み

  • Beamed.su などの攻撃サービスは Cloudflare 上で運用
    • 攻撃者のドメインもCloudflare経由 で匿名化
  • Cloudflareは攻撃者のフロントも防御も担当
    • 被害者(Canonical)は攻撃の後、 Cloudflareに課金して防御を導入
    • 攻撃サービスは無料でCloudflareを利用、被害者は有料で利用
  • Immaterialism Limited (ドメインレジストラ)は、 Cloudflareを利用し自動・格安登録 を提供
    • abuse用途で利用されやすい特徴

ネットワーク・企業構造の変遷

  • AS39287 (ネットワーク自律システム番号)の所有者が数回変更
    • 2017-2020年: Privactually Ltd(Flattr、Peter Sunde/“brokep”)
    • 2020-2026年: ab stract ltd(フィンランド、brokep)
    • 2026年2月27日: Materialism s.r.l.(ルーマニア) に移管
  • 企業運営者や登記住所も 短期間で複数回変更
    • Immaterialism Limited のディレクター交代とコントロール変更
    • 1337 Services LLC(Njalla) など、 The Pirate Bay創業者の関与
  • 証明書の大量ローテーション (Let’s Encrypt)が移管タイミングと一致

Canonicalの対応とDNS・CDN構成

  • 攻撃初期:blog.ubuntu.comから順次ダウン、3分以内にセキュリティAPIも停止
  • 19:34~19:40 UTC :リポジトリ(security.ubuntu.com, archive.ubuntu.com)もダウン
  • 1時間後 :リポジトリのみ CloudflareにAレコードを移管 し復旧
    • 他のWebサービスは Canonical独自ネットワーク で運用継続
  • Cloudflare移管はリポジトリ2つのみ、他は従来通り
  • 復旧声明は5月1日7:13 UTC完全復旧は12:44 UTC

身代金要求の有無と「脅迫」の構造

  • 身代金支払い・仮想通貨流出の証拠なし
  • 公的な脅迫文や交渉記録も不明
  • 実際に動いたのは Cloudflareへの有料契約
  • 攻撃サービス(Beamed)と防御サービス(Cloudflare)の同居 が事実上の圧力
  • Cloudflareは攻撃者のサービスも防御も同時にホスティング

まとめ:攻撃・防御インフラの“共犯”構造

  • DDoS攻撃者と被害者が同じインフラ事業者(Cloudflare)を利用
  • 攻撃サービスは無料、被害者は有料 というビジネスモデル
  • ネットワーク・企業運営の匿名性、流動性の高さ が攻撃インフラの温床
  • 攻撃防御の“両面ビジネス”が今後のセキュリティ課題

Hackerたちの意見

先週の関連投稿: > なぜCloudflareはUbuntuサーバーを攻撃しているDDoS攻撃者(beamed.st)を守っているの? https://news.ycombinator.com/item?id=48025001

それは恐喝であって、脅迫ではないよ。CFはどちらもやってない。

「[cloudflare]から攻撃能力を借りる」ってのは、私の理解では正確じゃない。あのグループは自分たちのサイトをcloudflareの後ろにホスティングしてるけど、cloudflareのインフラが攻撃に使われているって主張してる人は見たことない。この全体の記事は、攻撃者が運営する情報サイトのホスティングと、実際の攻撃のホスティングを混同してるように見える。

昔は、問題のあるDDOS攻撃はほとんどなかったんだ。なぜなら、みんなお互いをオフラインでDDOS攻撃してたから。ウェブサイトや制御インフラ、何でもね。DDOS保護サービスはAkamaiみたいな会社が提供してたし、価格を問い合わせる必要があった。大企業だけで、匿名のサインアップは絶対にダメだった。Cloudflareは、誰でも無料でDDOS保護を提供することで業界を革命したんだ。お互いをオフラインでDDOS攻撃させないことで、DDOS業界は本当に飛躍したよ。

この特定のケース/事件については詳しくないけど、HTTPトラフィック管理をたくさん扱ってるから、最近CloudflareのIPがログに頻繁に現れるようになったのは見てる。トラフィックがプロキシされてるわけじゃなくて(少なくともCF-Connecting-Ipヘッダーはない)。これらの攻撃に使われてるかは分からないけど、いくつかの攻撃には使われてると思う。(でも、CFは他のインフラプロバイダーよりもずっと少ない迷惑だね。)

これ、私も混乱した。著者が他の要素に対してすごく徹底して正確だったから、わざと曖昧にしてるように見える。

記事は非常に簡潔にまとめてる: Cloudflareは攻撃者を無料で守り、被害者には救済のために請求する。DDoS保護サービスは、攻撃者を攻撃させ続けるための歪んだインセンティブを持つデジタル保護の恐喝として描かれることがある。「危険なインターネットが広がってるから、私たちの無料プランを使って攻撃者からあなたのウェブサイトを守るためにお金を払った方がいいよ。」少なくとも、積極的な共謀や利益の分配がなくても、DDoS保護サービスがどちら側に立っているかははっきりしないよね?

問題は、近所や国などを攻撃者から守って、暴力をコントロールできるってこと。もしインターネットの相対的な匿名性とグローバルな性質を保ちたいなら、どうすればいいの?人々は確かに保護を扱うために協同組合を形成できるけど、グローバルなエンティティとして管理するのは難しい。DDoS保護は、主にそれを受け止めるための十分なキャパシティを持ってフィルタリングすることで行われる。必要な投資はかなり高いんだ。

これは、インターネットの基本的なプロトコルの弱点から生まれた保護のための恐喝だね。

じゃあ、解決策は何?あなたのコメントには同意するけど、CloudflareがDDoSを発明したわけじゃないよね。もしCloudflareが明日突然消えたとしても、AIクローラーは止まらない。じゃあ、代わりは何なの?政府発行のIDをアップロードしないとネットを閲覧できない世界なんて、必要ないよね?…だよね?

もっとシンプルな説明があるよ:Cloudflareは(一般的に言って、100%ではないけど、The Daily Stormerのケースでは[1])彼らのシステムを通過する法的に問題ないコンテンツを検閲しないし、自分たちが合法性の仲裁者になることを選ばない。 [1]: https://blog.cloudflare.com/why-we-terminated-daily-stormer/

私はずっと、ubuntuがダウンしたのは、ubuntuサーバーがcopy.failのパッチを当てるのを防ぐためだと思ってた。だからそのハッキンググループは、その間にできるだけ多くのターゲットを攻撃できるようにしてたんじゃないかな。

Hacker Newsで議論の続きを見る