Misskey.ioへのDDoS攻撃事件

Misskey/security

先日、中国政府からブロックされたMisskey公式サーバーのMisskey.ioですが、2022-11-24 ThuにDDoS攻撃を受けたとの噂があり、話題だったため紹介します。

概要

以下の投稿が今回の事件の概要になっていました。こちらの投稿で事件の存在を認知しました。

CyberRex (cyberrex_v2@misskey.io)’s status on Thursday, 24-Nov-2022 12:32:53 JSTCyberRexCyberRex

事のまとめ

Misskey.ioは保護サービスで守られていて、IPも秘匿されているのに、出てきたIPが「サーバーに直接繋がる」と思い込んだ人が言いふらしまくる → 村上さん反論→ 相手がキレる → 相手が攻撃ツールを使って何度も何度も攻撃 → 事案が警察行きになる

上記投稿がまとめでだいたいあっていますが、最後は攻撃者から謝罪があり、話し合いで終わったようです。

関係者の投稿を探ったところ、今回の事件は以下2名が登場人物のようです。

登場人物と概要

確認できた発端は2022-11-24 Thuの09:00頃の以下の投稿でした。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:10:09 JST村上さん村上さん

@o10ng@mstdn.maud.io さっきの投稿が消えてたので直接リプ失礼します。

インフラ担当してる者ですが、それはどう見てもConoHaのIPアドレスでMisskey.ioのオリジンIPではありません。

そもそもMisskey.ioはオンプレミスで稼働するサーバーです。

オリジンIPで通信を行えないよう厳重にVPNやプロキシを設定している上、オリジンはIPv4アドレスを持っていないため特定はかなり困難だと思います。

また、そのIP自体外部に出ても大丈夫な情報ではありますが、パブリックな場において公開範囲も指定せず他人のIPアドレスを勝手に公開するのはどうかと思います。

IPアドレス漏洩に関するやりとりがあったようです。

その後、2022-11-24 09:51頃にDDoS攻撃が開始されたと以下の投稿で報告がありました。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:52:00 JST村上さん村上さん

あ〜これDDoSきてるわ

2022-11-24 12:28頃には警察に相談したことを以下の投稿で報告します。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:28:33 JST村上さん村上さん

警察に相談して詳しい話をすることになりました

そのあと、少し時間が空いた2022-11-24 16:13に攻撃者から謝罪があり、当事者同士で非公開の話し合いになったと以下の投稿がありました。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 16:13:51 JST村上さん村上さん

DDoSを行っていた方からDMで謝罪を頂きました
ここからのやり取りは非公開にさせて頂きます

なお、事の発端と思わしきMisskey.ioのIPアドレス流出について、Misskeyの開発者が以下の投稿で見解を示していました。

:misskey::musume: (syuilo@misskey.io)’s status on Thursday, 24-Nov-2022 10:08:30 JST:misskey::musume::misskey::musume:

通常インターネット上で確認できるIPアドレスはISPのもので、これ自体は個人情報ではありません。サーバーログにもこのクライアントのIPアドレスは残ります。ISPに開示請求をして、ISPから情報提供を受けない限り、個人の特定は不可能だそうです (IPアドレスから住所は特定されてしまうのか? | ITコラム|アイティーエム株式会社)。

詳細

情報が断片なので、運営メンバーの関係する投稿を引用して、時系列の情報を整理します。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:10:09 JST村上さん村上さん

@o10ng@mstdn.maud.io さっきの投稿が消えてたので直接リプ失礼します。

インフラ担当してる者ですが、それはどう見てもConoHaのIPアドレスでMisskey.ioのオリジンIPではありません。

そもそもMisskey.ioはオンプレミスで稼働するサーバーです。

オリジンIPで通信を行えないよう厳重にVPNやプロキシを設定している上、オリジンはIPv4アドレスを持っていないため特定はかなり困難だと思います。

また、そのIP自体外部に出ても大丈夫な情報ではありますが、パブリックな場において公開範囲も指定せず他人のIPアドレスを勝手に公開するのはどうかと思います。

概要に示した通り、こちらの投稿が一連の流れの始まりのようでした。IPアドレスが漏洩しているというおそらく攻撃者からの吹聴があったようです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:11:59 JST村上さん村上さん

Misskey.ioのオリジンIP漏洩してるってパプリックで投稿するやべーやつおった

…どう見てもそれConoHaのIPだが?

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:13:05 JST村上さん村上さん

何を持って漏洩って言ってるんだろう

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:14:51 JST村上さん村上さん

おそらくSummaly Proxy(URL貼ったときの埋め込み出してるやつ)置いてるサーバーのIPだから、それ見てMisskey.ioのIP見つけた!って思っちゃったのかも

かわいいね

概要にも示した通り、インターネット上のIPアドレスはISPのもので、運営者側もそれを認識していると思わしき投稿でした。漏洩の吹聴も特に誰にも何の害もなく、この時点ではお互い特に何も問題なかったと思います。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:27:52 JST村上さん村上さん

ブロックされた
爆笑すぎる

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:29:28 JST村上さん村上さん

勝手に公開しておいてキモいもクソも無いだろ
自分が公開で投稿したんだから公開で煽られても仕方ないね

先の投稿の直後に、運営者がブロックされました。おそらく、運営者の煽り文に気分を害されたのでしょう。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:31:16 JST村上さん村上さん

DMで送ってきてたら誰もこんな事しないが

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:40:01 JST村上さん村上さん

じゃあ何でわざわざ「漏洩してる」って言ってたのかな?

この煽りについては、DMではなく公開で行ったからしたとのことでした。この件について、若干の応酬があったようです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:43:39 JST村上さん村上さん

ちなみに自分は完全にネタとして見てるので全く怒ってない
ただやべーやつだなって感じ

運営者側は今回の件について特に怒ってはいないそうです。怒ってはいないが不快なのか、それとも煽りは元々こういう文体なのでしょうか。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 09:52:00 JST村上さん村上さん

あ〜これDDoSきてるわ

その後、DDoS攻撃が始まりました。文脈からして、おそらく誤解への煽りに対する腹いせと思われます。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 10:09:35 JST村上さん村上さん

CloudFlare経由でリクエスト投げまくってたっぽい

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 10:17:34 JST村上さん村上さん

この帯域出せるってことは無料じゃなくて有料のDDoSサービスっぽいね
わざわざお金払ってDDoSしてきたんだ

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 10:41:19 JST村上さん村上さん

まだCloudFlareで止まっててioには全然届いてないの面白すぎる

速報: CloudflareによるKiwi Farmsのブロック | GNU social JP」でも登場したCloudflareによるDDoS攻撃だったようです。攻撃側も防御側もどちらもCloudflareを使っているようです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 11:25:04 JST村上さん村上さん

おっ、DDoS止まったな

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 11:27:32 JST村上さん村上さん

暴力
ちなみにユニークビジターが増えてるのでDoSではなくDDoS

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 11:27:38 JST村上さん村上さん

あ〜またDDoSきたな

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 11:32:52 JST村上さん村上さん

Misskey.ioのAPIリクエスト1ヶ月分を一瞬で抜かれてしまった
(画像はまた別サーバー)

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 11:56:33 JST村上さん村上さん

攻撃手法変えてきたね

攻撃の効果がなかったからか、一度止めて出直したようです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 11:57:03 JST村上さん村上さん

普通に違法なのでそろそろ止めた方がいいと思う

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:04:11 JST村上さん村上さん

警察に電話中

最初の攻撃が始まって2時間後、しつこく思ったのか、警察に相談したそうです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:12:16 JST村上さん村上さん

多分DDoSの規模的には過去最高レベルだけど、ioの対策も過去最高レベルなので完全ダウンはしなかった

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:12:33 JST村上さん村上さん

証拠も十分集まったし、これなら警察もだいぶ動いてくれる

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:13:15 JST村上さん村上さん
村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:13:32 JST村上さん村上さん

問題は日本の警察、これ系の事言われても分からないから対応してくれないんだよなぁ

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:14:24 JST村上さん村上さん

もっと有効な時間の使い方した方がいいよ

もう自動でブロックするアルゴリズム組み終わったから村上さんはお風呂入ってくるわ〜

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:28:33 JST村上さん村上さん

警察に相談して詳しい話をすることになりました

警察への相談とともに証拠の収集も行ったようです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:30:41 JST村上さん村上さん

おそらく相手はMisskey.ioにアカウントを作っていて村上さんの様子を確認してるんだと思う

本当なら反応しない方がすぐDDoS止まるんだけど、永遠に反応し続ける事で相手に一生課金させることができる

されてもほぼ影響ないし

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 12:31:13 JST村上さん村上さん

警察、DDoSじゃあまり動いてくれんけど、過去2回はちゃんと動いてくれたので今回も一応通報しておくか

過去にDDoS攻撃を受けたことがあり、その際にも警察に通報していたそうです。反応しないほうがすぐに止まるとわかっていながら、相手を消耗させるためにわざと反応していたそうです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 13:16:12 JST村上さん村上さん

DDoSしてたの、ドン廃アラートの作者っぽい
技術があるのに犯罪に手を染めるのは普通に残念

その間に、攻撃者の情報収集を行ったようで、攻撃者はドン廃あらーとというサービスの開発・運営者のようです。

村上さん (aureoleark@misskey.io)’s status on Thursday, 24-Nov-2022 16:13:51 JST村上さん村上さん

DDoSを行っていた方からDMで謝罪を頂きました
ここからのやり取りは非公開にさせて頂きます

最後の投稿から3時間ほど時間が空いて、攻撃者から謝罪があったそうです。DMで水面下でやりとりがあったようです。

以上で公開の場での一連の応酬は終了となります。

なお、記事公開後に以下の指摘がありました。

村上さん (aureoleark@misskey.io)’s status on Friday, 25-Nov-2022 14:04:31 JST村上さん村上さん

@gnusocialjp@gnusocial.jp 記事の一部に誤りがありますし、警察の捜査が入るので勝手に記事作らないでください。

公開の場での応酬は終了したものの、警察の捜査は継続されるようです。

結論

Misskey.ioへのDDoS攻撃事件でした。

たまたまだと思いますが、攻撃者と思わしきユーザーは最近「実際にサイバー犯罪者が使うツールに耐えられるCloudflareの設定 | もぺブログ」にDDoS攻撃についての記事を投稿していました。管理人の推測ですが、腹いせと技術的興味があったのではないかと思われます。

多くのトラブルは些細な誤解やすれ違いから起こるものです。今回の事件はまさにその典型に思いました。

憎悪を増長するような煽りは無用なトラブルを生み、お互い消耗するだけです。無視や礼儀正しい対応などでできるだけ回避したいところです。

コメント

  1. 今すぐこのしょうもない記事を消しなさい

  2. ななし より:

    >無視や礼儀正しい対応などでできるだけ回避したいところです。
    記事削除のお願いを無視するのが礼儀正しい対応…?

  3. 村上 より:

    こちらの記事にて私の投稿が転載・引用されていますが、こちらのサイトには利用許可を出していません。

    Misskey.ioのプロフィールに記載している通り、投稿内容は第三者のコンテンツを除き全て私に帰属します。

    リプライ、Renote、ブーストなどActivityPubを利用した機能を除き、他のプラットフォームに投稿を引用または転載する場合は事前に許可が必要です。

    許可を得ず転載、引用した物や削除依頼に応じない物は1文字あたり280円の利用料金が必要になります。

    2023年1月31日までに転載・引用部分の削除を行わない場合、訴訟も視野に弁護士に相談します。

    よろしくお願いいたします。

    • GNU social JP管理人 より:

      引用はそもそも許可いりません。また、この程度の短文に著作物としての創作性があるかどうかも怪しいです。著作物でないなら、そもそも著作権の侵害にすら該当しません。

      合法的で何も問題ないですし、お金を払う必要はそもそもありません。あなたが単に不快だからという理由で、法律を超過してあなたの命令に服従する必要は私にはありません。むしろ、私の言論の自由を奪う人権侵害です。

      問題があるというなら、民事訴訟の提訴をお願いします。サイト内では他にも引用を多用しており、今後のためにも身の潔白を証明したいので、願ったり叶ったりです。

      • 村上 より:

        返信ありがとうございます。

        まず今回の返信は全体的に以下のページから引用していますので、全文はそちらをご確認ください。
        https://best-legal.jp/reprinted-without-permission-55635/

        投稿に対して著作権が発生するかについては発生すると言わざるを得ません。
        > 著作権法では、「思想または感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」を著作物と定義しています(同法第2条1項1号)。
        >
        > 他人がSNSやブログなどに掲載した文章や画像、動画も、その人の思想や感情を創作的に表現したものなので、著作物に該当します。

        引用と転載の違いですが、引用である条件に
        > 自分と他人の著作物の主従関係を明確にすること(引用部分が「従」であること)
        が含まれています。

        こちらの記事では本文(タイトルや目次、URLや時刻を除く)がスペース抜きで1,651文字であるのに対して、引用と主張している部分は同条件で1,927文字あったのでこれは引用では無く転載と言えます。

        また、文字数以外の視点で見ても記事の大半が転載内容を貼り付けた後に
        「〇〇したようです。」
        とされており、あなたの感想や批評ではなく転載内容の繰り返しであり、この状態では記事自体が主であると主張するのは極めて困難だと思われます。

        あなたはこれを引用と思い込んでいるのでしょうが、法律と何度照らし合わせてもこちらの記事は転載で構成された物と言わざるを得ませんので、削除に応じない場合は弁護士に相談させて頂きます。

        • GNU social JP管理人 より:

          以前議論したときと同じで、あなたと私とでは主張が食い違っており、平行線です。あなたは、自分自身の投稿に創作性があって、著作権が発生すると思っているようですが、私は思っていません。万が一、創作性が認められて著作権が発生したとしても、引用なので問題ないです。主従の関係があるとのことですが、多少の文字数の違いは問題ないと思っています。

          以前もお伝えしました通り、素人同士で議論しても無意味なので、提訴して裁判官の判断をもらうしかありません。私は最初から最後まで合法的で何の問題もないと思っていますので、削除する気はありません。削除に応じる気はないので、月末の期限を待たずに提訴してもらってかまいません。どうしても削除・訂正してほしいなら、司法の判断があれば検討します。

          なお、万が一違法の判断が出て私が敗訴した場合、私のコメントの文量を増やす形で主従関係をより明確にして対応するつもりで、削除する気はありません。速報性が大事な内容で、投稿が多くて、引用に疲れてコメントの量が少なくなっただけですので。そして、その後は違法にならないように注意して引用するだけですので、引用をやめる気はありません。敗訴後も引用を継続するつもりです。ですので、私の引用停止が提訴の目的なら、それは不可能なので無意味です。

          万が一、違法だったとしても、あなたは損害を被っていないので、損害賠償は認められないと思います。あなたが一方的に手間と費用がかかるだけですし、あなたの勝訴は無理だと思うので、私は告訴の取り下げを推奨します。手間と費用がかかった上に敗訴が濃厚だったとしても、それでもどうしても納得がいかないというならば、あなたの自由なので提訴すればよいと思います。元々合法ですが、私は自分の身の潔白をより明確に証明できて、今後も胸を張って引用できるだけです。私にとっては、提訴してもらったほうがどちらかというと好都合です。

          ただ、私なんかに構う暇があるならば、資金調達などもっと他の大事なことに取り組んだほうが良いと私は思います。

          私はあなたに嫌がらせをしたいから・悪意があってやっているわけではありません。気を悪くしないでほしいですが、私個人としては別にあなたにそんなに興味があるわけではありません。話題になっていて、需要があって分散SNSのユーザーがみたいと思うだろうから、記録に残したほうが役立つだろうと思ってやっているだけです。その証拠にあなた以外の投稿も引用しています。あなたにこだわっているわけではなく、単に話題になっているから取り上げただけです。あなたが話題にならなければ、需要がないので取り上げません。

          そもそも、SNSの公開投稿は皆に見てもらうの前提です。見られるのが嫌ならば、非公開アカウントや、フォロワー限定などで非公開で投稿すればいいです。非公開なら私は見れず気づかないのでそもそも引用できません。

          • 村上 より:

            返信ありがとうございます。

            > 主従の関係があるとのことですが、多少の文字数の違いは問題ないと思っています。

            いいえ、文字数の違いではなく本文の内容が転載に対して薄すぎるという話をしています。

            また、当時投稿していた一連の流れを殆ど転載しており、引用の範囲を超えていると言わざるを得ません。

            転載内容を減らした上で本文の内容を正しく詳細に書き、引用と認められる範囲になれば削除依頼はそもそも行っていません。

            > 速報性が大事な内容で、投稿が多くて、引用に疲れてコメントの量が少なくなっただけですので。

            これはあなた自身のコンテンツの薄さ(つまり引用と認められない可能性が高い)を認めているに他なりませんが訂正されなくて宜しいのでしょうか?

            > どうしても削除・訂正してほしいなら、司法の判断があれば検討します。

            ご自身で仰っていた通り司法の判断は絶対です。

            削除や訂正が必要と判断された場合、あなたは要請に必ず応じる必要があり「検討」では済まされません。

            > 私はあなたに嫌がらせをしたいから・悪意があってやっているわけではありません。

            私はあなたから嫌がらせを受けており、精神的苦痛を感じています。

            また、あること無いこと勝手に書かれ事実無根の誹謗中傷を受けているとも感じています。

            もし嫌がらせでは無いと言うのであれば記事を削除し今後二度と関わらないでください。

            > SNSの公開投稿は皆に見てもらうの前提です。見られるのが嫌ならば、非公開アカウントや、フォロワー限定などで非公開で投稿すればいいです。

            もう既に削除されている投稿も転載され続けていますが、これは悪名高いTogetterですら元投稿者による削除を行えるようにしています。

            そのため既に非公開になっている情報に対する削除要求に応じず掲載し続ける行為は引用の範囲を超えており削除要求に応じない場合は違法となる可能性が高いです。

            よろしくお願いいたします。

            • GNU social JP管理人 より:

              先程返信したとおり、あなたと私とでは主張が食い違っていて平行線のままで、これ以上話をしても無意味です。私は何一つ問題ないと思っていますので、どうしても気に入らないなら提訴してみてください。「検討」と書いたのは、控訴できるからです。

              削除してあっても関係ありません。誹謗中傷など違法行為は最初から最後まで何一つありません。あるというなら司法の場で立証してみてください。「自分が不快だから自分の命令に服従しろ」。誰かが不快だから4んでほしいとお願いしてきたら、私は4なないといけませんか?こんな論理が通りますか?通るわけがありません。通るならこちらも同じようなことをしますよ。

              これ以上話をしたいならば、

              Contact
              このサイトやgnusocial.jp、そのほかGNU social JPや分散SNSなどについてのご質問やお問い合わせは以下のフォームからご連絡ください。24時間以内に@gnusocial.j...

              に記載したとおり、通話でなら受け付けます。

              私は手間と費用がかかってあなたのコスパが悪いので推奨しませんけど、どうしても納得いかないようなので、是非提訴してみてください。

  4. […] Misskey.ioへのDDoS攻撃事件 | GNU social JP […]

  5. […] 2022-11-25: 「Misskey.ioへのDDoS攻撃事件 | GNU social JP」でMisskey.ioへのDDoS攻撃の紹介記事投稿。 […]

タイトルとURLをコピーしました