ハクソク

世界を動かす技術を、日本語で。

誰か「Cloudflare」が「Canonical」を脅迫したかどうか説明してくれませんか?

6時間前原文(flyingpenguin.com)

概要

2026年4月末、 Canonicalの主要Webサービス が大規模DDoS攻撃で 約20時間ダウン。 攻撃の背後には Beamedという商用DDoSサービスCloudflareの複雑な関与。 攻撃後、Canonicalは Cloudflareを一部導入 し、主要リポジトリを保護。 身代金要求の証拠は無し、だが 攻撃サービスと防御サービスの同居 が問題視。 攻撃・防御インフラの 運用者や関連企業の変遷・ネットワーク構造 も追跡。

2026年4月 Canonical大規模DDoS攻撃の経緯

  • 2026年4月30日16:33:37 UTC、Canonicalの監視システムが blog.ubuntu.comのダウン を検知
  • 10分以内に ubuntu.com、本社サイト、API、開発者ポータル、トレーニングプラットフォーム など 全社Webが停止
  • 約20時間後2026年5月1日12:44 UTC に復旧
  • 攻撃は Beamed(商用DDoSサービス) によるものと判明
    • Cloudflare回避技術 を宣伝
    • Cloudflare自体が攻撃・防御両方のインフラ を提供
  • 攻撃者は Islamic Cyber Resistance in Iraq(313 Team) を名乗る親イラン系グループ

BeamedとCloudflareの関係、攻撃の仕組み

  • Beamed.su などの攻撃サービスは Cloudflare 上で運用
    • 攻撃者のドメインもCloudflare経由 で匿名化
  • Cloudflareは攻撃者のフロントも防御も担当
    • 被害者(Canonical)は攻撃の後、 Cloudflareに課金して防御を導入
    • 攻撃サービスは無料でCloudflareを利用、被害者は有料で利用
  • Immaterialism Limited (ドメインレジストラ)は、 Cloudflareを利用し自動・格安登録 を提供
    • abuse用途で利用されやすい特徴

ネットワーク・企業構造の変遷

  • AS39287 (ネットワーク自律システム番号)の所有者が数回変更
    • 2017-2020年: Privactually Ltd(Flattr、Peter Sunde/“brokep”)
    • 2020-2026年: ab stract ltd(フィンランド、brokep)
    • 2026年2月27日: Materialism s.r.l.(ルーマニア) に移管
  • 企業運営者や登記住所も 短期間で複数回変更
    • Immaterialism Limited のディレクター交代とコントロール変更
    • 1337 Services LLC(Njalla) など、 The Pirate Bay創業者の関与
  • 証明書の大量ローテーション (Let’s Encrypt)が移管タイミングと一致

Canonicalの対応とDNS・CDN構成

  • 攻撃初期:blog.ubuntu.comから順次ダウン、3分以内にセキュリティAPIも停止
  • 19:34~19:40 UTC :リポジトリ(security.ubuntu.com, archive.ubuntu.com)もダウン
  • 1時間後 :リポジトリのみ CloudflareにAレコードを移管 し復旧
    • 他のWebサービスは Canonical独自ネットワーク で運用継続
  • Cloudflare移管はリポジトリ2つのみ、他は従来通り
  • 復旧声明は5月1日7:13 UTC完全復旧は12:44 UTC

身代金要求の有無と「脅迫」の構造

  • 身代金支払い・仮想通貨流出の証拠なし
  • 公的な脅迫文や交渉記録も不明
  • 実際に動いたのは Cloudflareへの有料契約
  • 攻撃サービス(Beamed)と防御サービス(Cloudflare)の同居 が事実上の圧力
  • Cloudflareは攻撃者のサービスも防御も同時にホスティング

まとめ:攻撃・防御インフラの“共犯”構造

  • DDoS攻撃者と被害者が同じインフラ事業者(Cloudflare)を利用
  • 攻撃サービスは無料、被害者は有料 というビジネスモデル
  • ネットワーク・企業運営の匿名性、流動性の高さ が攻撃インフラの温床
  • 攻撃防御の“両面ビジネス”が今後のセキュリティ課題

Hackerたちの意見

先週の関連投稿: > なぜCloudflareはUbuntuサーバーを攻撃しているDDoS攻撃者(beamed.st)を守っているの? https://news.ycombinator.com/item?id=48025001

それは恐喝であって、脅迫ではないよ。CFはどちらもやってない。

「[cloudflare]から攻撃能力を借りる」ってのは、私の理解では正確じゃない。あのグループは自分たちのサイトをcloudflareの後ろにホスティングしてるけど、cloudflareのインフラが攻撃に使われているって主張してる人は見たことない。この全体の記事は、攻撃者が運営する情報サイトのホスティングと、実際の攻撃のホスティングを混同してるように見える。

昔は、問題のあるDDOS攻撃はほとんどなかったんだ。なぜなら、みんなお互いをオフラインでDDOS攻撃してたから。ウェブサイトや制御インフラ、何でもね。DDOS保護サービスはAkamaiみたいな会社が提供してたし、価格を問い合わせる必要があった。大企業だけで、匿名のサインアップは絶対にダメだった。Cloudflareは、誰でも無料でDDOS保護を提供することで業界を革命したんだ。お互いをオフラインでDDOS攻撃させないことで、DDOS業界は本当に飛躍したよ。

この特定のケース/事件については詳しくないけど、HTTPトラフィック管理をたくさん扱ってるから、最近CloudflareのIPがログに頻繁に現れるようになったのは見てる。トラフィックがプロキシされてるわけじゃなくて(少なくともCF-Connecting-Ipヘッダーはない)。これらの攻撃に使われてるかは分からないけど、いくつかの攻撃には使われてると思う。(でも、CFは他のインフラプロバイダーよりもずっと少ない迷惑だね。)

これ、私も混乱した。著者が他の要素に対してすごく徹底して正確だったから、わざと曖昧にしてるように見える。

記事は非常に簡潔にまとめてる: Cloudflareは攻撃者を無料で守り、被害者には救済のために請求する。DDoS保護サービスは、攻撃者を攻撃させ続けるための歪んだインセンティブを持つデジタル保護の恐喝として描かれることがある。「危険なインターネットが広がってるから、私たちの無料プランを使って攻撃者からあなたのウェブサイトを守るためにお金を払った方がいいよ。」少なくとも、積極的な共謀や利益の分配がなくても、DDoS保護サービスがどちら側に立っているかははっきりしないよね?

問題は、近所や国などを攻撃者から守って、暴力をコントロールできるってこと。もしインターネットの相対的な匿名性とグローバルな性質を保ちたいなら、どうすればいいの?人々は確かに保護を扱うために協同組合を形成できるけど、グローバルなエンティティとして管理するのは難しい。DDoS保護は、主にそれを受け止めるための十分なキャパシティを持ってフィルタリングすることで行われる。必要な投資はかなり高いんだ。

これは、インターネットの基本的なプロトコルの弱点から生まれた保護のための恐喝だね。

じゃあ、解決策は何?あなたのコメントには同意するけど、CloudflareがDDoSを発明したわけじゃないよね。もしCloudflareが明日突然消えたとしても、AIクローラーは止まらない。じゃあ、代わりは何なの?政府発行のIDをアップロードしないとネットを閲覧できない世界なんて、必要ないよね?…だよね?

もっとシンプルな説明があるよ:Cloudflareは(一般的に言って、100%ではないけど、The Daily Stormerのケースでは[1])彼らのシステムを通過する法的に問題ないコンテンツを検閲しないし、自分たちが合法性の仲裁者になることを選ばない。 [1]: https://blog.cloudflare.com/why-we-terminated-daily-stormer/

私はずっと、ubuntuがダウンしたのは、ubuntuサーバーがcopy.failのパッチを当てるのを防ぐためだと思ってた。だからそのハッキンググループは、その間にできるだけ多くのターゲットを攻撃できるようにしてたんじゃないかな。

copy.failのパッチは、ダウンタイムを最小限に抑えて適用できるし、VMの再起動もサイズに関係なく30秒以内で終わるよ。すべてのアペックスサーバーはHAに設定されてるから、負荷が分散されて、普通のユーザーはcopy.failのパッチ適用を感じないはず。実際、パッチを適用したとき、うちのユーザーは何も感じなかったよ。

俺はいつも、ubuntuがcopy.failのパッチ適用を防ぐためにダウンさせられたと思ってた。Ubuntuでは、copy.failをいくつかのmodprobe(8)の設定変更で緩和できるかもね。# echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf # rmmod algif_aead この機能を使ってるプロセスがあるかもしれないけど("lsof | grep AF_ALG")、あまり広まってないと思うから、無効にしても大丈夫だと思うよ。

完全に同意する。cloudflareは詐欺師を大規模に守ってるけど、誰も気にしない… 私がcloudflareに報告したフェイスショップ、cloudflareの後ろにあるフィッシングページ、どれも削除されなかった。全く。何十億も稼いでる会社が人々を守るために、こういうことを真剣に受け止めるべきだよ。

Cloudflareにアクションを求めるなら、法的手段を使わないと聞いてもらえないと思うよ。「20ドルの損害を受けたので、Cloudflareに提供された顧客の支払い情報(発行銀行、口座番号)を求めて、彼らに対して金銭的な請求をする」っていうのは、素晴らしい少額訴訟の例になるね。まだ誰かが試したって話は聞いてないけど、もし誰かがやったら結果を見てみたいな!

あなたは、法的手続きや異議申し立てのメカニズムなしに、恣意的にウェブサイトを検閲する巨大な組織の方がいいと思う?今の状況の方がずっと良いよ。

この論理でいくと、キーボードメーカーをその製品で書かれた違法なことの責任を負わせることができるね。

水を売るための水道会社もそうだよね。どこで線引きするの?

同じ話じゃないよ。UPSの荷物に爆弾が入ってたら、それはUPSのせいじゃない。でも、誰かがUPSを使って爆弾を送ってるって言ったのに、全然動かないし、爆弾を送る人をかばってるみたいだったら、ちょっとは彼らの責任になるよね?

これはサービスであって、デバイスの販売じゃない。犯罪活動を支援する組織にサービスを提供し続けるのは全然違うし、違法行為のためにクライアントを終了させるのは問題ないと思う。

これはちょっとした誤解だね。このシナリオでの「キーボードメーカー」はCloudflareが買っている「ルーターメーカー」であって、Cloudflare自身じゃない。あなたのシナリオでは、Cloudflareは普通のコメントと一緒にあらゆる汚いものを運ぶ新聞の集約者みたいなもんだよ。普通の状況なら、汚い新聞を読むのをやめることができるし、読みたい人がその決定を自分でできる。でもCloudflareのシナリオでは、主要な普通の新聞がすべてCloudflareを通じてコンテンツを公開することに決めてしまって、もし不快なものが一緒に公開されたら、元の出版社に文句を言う代わりに、Cloudflareに対処しなきゃいけなくて、彼らがあなたの情報を非常に不快な人たちに転送するかもしれないってことを事前に知ることができない。

みんな、自分が許可すべきじゃないと思うサイトをいくつか選ぶことはできるけど、問題はその選ぶサイトが人それぞれ違うことだよね。Cloudflareは、法的命令が来るまで、すべてのサイトをホスティングすべきだと思う。もし彼らがサイトの内容が「適切」かどうかを判断し始めたら、みんな(正当な理由で)怒ること間違いなしだよ。「Cloudflareから攻撃能力をレンタルする」っていうのは、何か証拠が必要だと思う。俺の知る限り、攻撃者は実際の攻撃にCloudflareのインフラを使ってないからね。(この投稿に対する一般的な感情と、Googleの投稿に対する感情の違いは本当に驚きだよ。)

ほとんどの企業は、会社自体を傷つけたり攻撃したりしないことを含むTOSを持ってるよ。広告されたサービスは、Cloudflareを明示的に攻撃してる。これは、合理的なTOSに違反するのは明らかだと思う。編集:これが彼らのTOSからの引用だよ。https://www.cloudflare.com/en-ca/website-terms/ 「7. 禁止されている使用法 あなたがウェブサイトやオンラインサービスを利用する条件として、これらの利用規約によって違法または禁止されている目的でウェブサイトやオンラインサービスを使用してはなりません。あなたは、CloudflareのサーバーやAPI、またはCloudflareのサーバーやAPIに接続されたネットワークを損傷、無効化、過負荷、妨害、または損なう可能性のある方法でウェブサイトやオンラインサービスを使用してはなりません。また、他の人のウェブサイトやオンラインサービスの利用や楽しみを妨げるような行為をしてはなりません。あなたは、ウェブサイトやオンラインサービスを通じてウイルス、ワーム、欠陥、トロイの木馬、またはその他の破壊的な性質のアイテムを送信してはなりません。あなたは、ウェブサイトやオンラインサービスの制限を超えたり回避したり、またはそれを試みたりしてはなりません。Cloudflareのドキュメントやユーザーマニュアルに違反する方法でウェブサイトやオンラインサービスを使用してはなりません。あなたは、ハッキング、パスワードマイニング、またはその他の手段を通じて、Cloudflareのサーバーやウェブサイトやオンラインサービスに接続された他のアカウント、コンピュータシステム、またはネットワークに不正アクセスを試みてはなりません。あなたは、ウェブサイトやオンラインサービスを通じて意図的に利用可能にされていない資料や情報を取得しようとしたり、取得してはなりません。あなたは、適用される連邦、州、地方、または国際法や規制(データやソフトウェアの輸出に関する法律を含むがこれに限らない)に違反する方法でウェブサイトやオンラインサービスを使用してはなりません。Cloudflareは、違法、有害、またはこれらの利用規約に違反していると判断したコンテンツを、Distributed Web Gatewayからブロックする権利(ただし義務ではない)を保持します。これらの目的のために、違法または有害なコンテンツには、以下が含まれますが、これに限られません:(a)児童性的搾取や虐待、人身売買を含む、またはそれを助長するコンテンツ;(b)他人の知的財産権を侵害する、またはその他の違法なコンテンツ;(c)機密の個人情報を開示したり、暴力を扇動または利用したり、または公衆を欺くことを目的としたコンテンツ;(d)マルウェアを配布したり、フィッシングを助長したり、またはその他の技術的な悪用を構成するコンテンツ。

「もし彼らがサイトに手を出して、そのサイトのコンテンツが『適切』かどうかを判断し始めたら」 彼らはすでに選んでるよ。外にいることを決めたわけじゃない。彼らが関与しないっていう主張は、黙認として読むべきだね。だって、彼らが十分に不快に思ったユーザーは切り捨てることが分かってるから。

このスレッドの中で数少ないまともなコメントだね。Cloudflareがこれを防げたとは思えない。たとえ攻撃者の情報サイトを削除しても、彼らはGitHub Pagesや他の無料の静的サイトホスティングサービスにホストできるし。Cloudflareが実際に攻撃を助長した証拠は全くないと思う。

こういう記事は、Cloudflareがセキュリティレポートや法的命令に反応しないって変な信念を持ってるみたいだね。私の経験では、彼らは業界の他の部分と比べて適切に、そして比較的迅速に反応してると思う。Cloudflareがもっと積極的に動いたり、サインアップにもっと手間をかけたりするべきか?うん、たぶんそうだけど、彼らがインターネットの警察をやらない理由は理解できる。インターネットでコンテンツをホストするために、クレジットカードや電話番号、身分証明書のコピーを提供する必要があるとは思わないな。

インターネットでコンテンツをホストするために、Cloudflareと話す必要があるとは思わないな。私は全然そう思わない。

インターネットが長い間機能していたのは、それぞれの小さな島の責任者が、他の島のために最善のことをしていたからだよ。もしそうしなかったら、他の島がリンクを切ることもあった。法執行機関は最後の手段だった。なぜなら、1. 裁判所はインターネットのスピードには追いつけないし、2. 誰もインターネットが上からの政府規制を受けるのを望んでいなかったから。Cloudflareは多くのベンチャーキャピタルを使って、高価なものを無料で提供し、市場シェアを獲得した。もし全てのスーパーがあなたの島に移動するように説得できれば、他の人たちから避けられることなく、犯罪活動を行うことができる。ボットネットやマルウェア、オンライン詐欺と戦っている人に話を聞いてみて。Cloudflareの行き止まりにぶつかると、もう諦めるしかない。たった7000人のコンピュータが感染しているだけのケースを、法執行機関が引き受けることはないし、Cloudflareが自ら調査して行動を起こすこともないよ。

それは「変な信念」じゃないよ。Cloudflareは自分たちを「インフラ」と位置づけてる。つまり、彼らは運んでいるコンテンツに対して責任がないと思ってるってこと。普通の状況なら、ネット上の「悪い」システムから自分のシステムを守りたい場合、IPレイヤーでブロックできる。でも、CloudflareはIPレイヤーでデータを中継していて、良いシステムと悪いシステム(その間のものも含めて)をつないでる。普通なら、マフィアが運営しているサイトをブロックしたり、コンテンツをホスティングしている組織のabuse@に連絡したりできるけど、Cloudflareはそれをできなくしてる。もしCloudflareにabuseレポートを送っても、あなたの連絡先情報を文句を言ってる相手にそのまま転送するかもしれない。彼らは年々、より責任感のある姿勢を見せようとしてるけど、事実は変わらない。Cloudflareの背後に隠れているシステムにabuse@レポートを送る場合、彼らが転送する相手を知らされないまま転送される可能性があるってこと。

私も現代のインターネットにおけるCFの役割は嫌いだけど、これは根拠もなく点をつなごうとしている単なる推測だと思う。Canonicalの証明書更新が会社の移転と同じ日に行われたからってだけで。とはいえ、Njallaが最近再編成されたり所有権が変わったりしたらしいし[1]、Njallaとimmateriali.smが関連しているようにも見える[2]。 https://xn--gckvb8fzb.com/njalla-has-silently-changed-a-word... https://www.wipo.int/amc/en/domains/decisions/pdf/2026/dio20...