1 ポイント 投稿者 GN⁺ 2024-08-02 | 1件のコメント | WhatsAppで共有
  • ClownStrike.lolの運営者は、CrowdStrikeがCSC Globalと思われる「Clown Services Company」を通じてCloudflareに根拠のない削除通知を送り、同サイトはパロディであるため運営を続けると表明した
  • このサイトはCrowdStrikeの障害を風刺するために作られたもので、運営者はその障害が数百万人の航空旅客と数十億ドル規模の損害を生んだと批判した
  • 運営者は、DMCAで商標権侵害を問題にしてパロディサイトを取り下げようとする試みは不適切であり、パロディ・批評・ニュース報道・教育などはフェアユースに含まれると反論した
  • その後、Cloudflare、Fortinet、CRDFとの摩擦が続き、Fortinetはフィッシング分類を約6時間後に修正し、CRDFは悪性分類を8分で修正した
  • 非商用のパロディサイトであっても、企業からの削除要請やセキュリティ企業による誤分類にさらされる可能性があり、異議申し立てやcounter notice手続きは運営者に大きな負担となる

CrowdStrikeの削除通知とClownStrike.lolの対応

  • ClownStrike.lolの運営者は、CrowdStrikeがCSC Globalを通じてCloudflareにサイトの削除通知を送ったと明らかにした
  • 運営者は、CrowdStrikeがパロディサイトを好まないのは理解できるが、根拠のない通知でサイトを取り下げようとしたやり方は不適切だと批判した
  • 2024年7月31日の朝に通知を受けた後、2024年8月1日の朝にCloudflareへ回答を送り、サイトがCloudflareから削除されてもインターネット上には残し続けると述べた
  • Cloudflareは2024年8月2日の朝に再び連絡し、運営者も同日あらためて回答した
  • 2024年8月5日の午後、Cloudflareは世論の圧力が高まった後に応答し、運営者も同日再度回答した

パロディとフェアユースをめぐる反論

  • 運営者は、このサイトはCrowdStrikeの障害を風刺する明白なパロディであり、合理的な人であればそう認識できると見ている
  • サイトは商業利用をしておらず、製品販売も行っておらず、いかなる形でも収益を得ていないと明らかにした
  • DMCAは著作権法であるにもかかわらず、それを使って商標権侵害を理由にパロディサイトを取り下げようとする試みは不適切だと批判した
  • パロディ、批評、変形的著作、ニュース報道・ジャーナリズム、教育などで商標や著作物を使用できるフェアユースが重要だと強調した
  • 15 U.S. Code § 1125 (c)(3)(c)の「Any noncommercial use of a mark」という例外も根拠に挙げた

DMCA手続きが運営者に与える負担

  • 運営者は、DMCAが企業の同意しない合法的コンテンツを取り下げるために使われていると批判し、EFFの記事をリンクした
  • DMCAはサービス提供者に対し、侵害資料を速やかに削除するかアクセスを無効化するよう求める一方、counter noticeがある場合のアクセス復旧には14日を認めていると指摘した
  • この構造は、米国の多くの立法と同様、実際の市民よりも企業に有利だと批判した
  • CrowdStrikeを相手に訴訟で勝つ状況は、マーケティング面では良いことだろうとも付け加えた

CrowdStrike障害を風刺した文脈

  • 運営者は、CrowdStrikeが世界的なIT障害を引き起こしたと批判し、複数の報道や機関の通知にリンクした
  • リンクされた項目には、CNN、TechCrunch、Ars Technica、CNBC、New York Times、CISA、TechTargetなどのCrowdStrike障害関連資料が含まれている
  • Ars Technicaのリンクの1つは、CrowdStrikeの復旧が「最大15回の再起動」から始まり、さらに複雑になっていくことを扱っている
  • MicrosoftがCrowdStrikeのBSOD影響システムを850万台と言及したというArs Technicaのリンクも含まれている

CRDFの悪性分類と迅速な修正

  • 2024年8月9日の更新で、運営者はCRDFがClownStrike.lolをmaliciousに分類したというメッセージを受け取ったと明らかにした
  • 運営者は、CRDFの報告フォームに攻撃的な文言が含まれていると批判した
  • CRDFの規約で、報告を提出するためにCRDFを免責しなければならないという条件も問題視した
  • それでも報告を提出し、8分後にCRDFが応答してmalicious分類を修正した
  • 運営者は、そもそもなぜリストに載ったのかは分からないとも付け加えた

Fortinetのフィッシング分類と異議申し立て

  • 2024年8月7日の更新で、FortinetがClownStrike.lolをphishingに分類した
  • 運営者はFortiGuard web filter関連ページを確認し、異議申し立てを試みた
  • 最初に選んだAppeal a blocked Spam IP, URL or Email addressの経路は、一時期、空白ページまたはHTTP 500エラーを返したという
  • その後フォームは再び動作し、Fortinetはすばやく応答したが、別の提出経路を案内した
  • Submit a change for a web filter incorrectly rated siteはすでに使用したフォームと同じで、Report a problem with Malicious URL classificationは別のフォームだったという
  • Fortinetは約6時間後に応答し、phishing分類を修正した
  • 運営者は、Fortinetが当初なぜphishingと表示したのか説明せず、異議申し立てのプロセスも煩雑だったが、比較的適時に修正した点は認めた

Cloudflare abuse portalの発見

  • 2026年2月22日の更新で、運営者はCloudflareのダッシュボードにabuse portalが追加されていることを発見した
  • これがClownStrike.lolの件によるものかは分からないという
  • 実際に機能するかも分からず、使うことにならないことを願っているとも付け加えた
  • それでもメールのブラックホールよりは改善、または少なくとも改善の試みのように見えると評価した

1件のコメント

 
GN⁺ 2024-08-02
Hacker Newsの意見
  • 参考までに、CSC は他社が自分たちに代わって事務手続きを行うよう委託する会社です。
    皆さんの会社もデラウェア州での登録代理人として CSC を使っている可能性が高く、CSC の主な役割は、米国で会社が存続するために必要な法務・コンプライアンス要件を満たすため、書類上の存在を維持し年次書類を提出することです。
    会社の代わりに DMCA要請 まで出しているとは知りませんでしたが、元のイメージとは少し合わないように見えました。
    ところが調べてみると、CSC には Online Brand Protection サービスがありました: https://www.cscdbs.com/en/brand-protection/
    CrowdStrike の事故でインターネットが止まり、CrowdStrike がブランド保護保証を含むサイバー保険を請求し、CrowdStrike か保険会社が CSC のようなブランド保護サービスを購入し、その結果この人が削除要請を受けた可能性がありそうです。
    最初は CSC を擁護しようとして書き始めましたが、検索してみると CSC のブランド保護サービスが原因のようです。CrowdStrike がブランドを「保護」しようとして金を払ったのに、むしろこのサイトのトラフィックだけ増やす正反対の効果が出ています。

    • CrowdStrike が 評判の毀損 を防ぐために雇った業者のサービスで、自分たちの想定していなかった失敗モードのせいで評判の毀損を受けているのは皮肉です。
      この件でインフラを守るために CrowdStrike のサービスを買ったユーザーに、少しは共感できるようになるかもしれません。
    • CSC が顧客確認なしに先回りして 停止・削除通知 を送るとは思えません。
      CrowdStrike の社内の誰かが「よし、これは削除通知を送れ」と承認していたはずです。
      CSC のブランド保護を使っていた職場で働いた経験に基づく判断です。
    • 実際に clownstrike.com を登録して crowdstrike.com にリダイレクトしています。
      https://who.is/whois/clownstrike.com
    • CSC のほうがパロディサイトだと思いました。流行語ばかりで製品はなく、「ソリューション」だけが見えるので、他社ではたいてい「実際に売る物がない」という意味で使われがちです。
    • これは ストライサンド効果 です。
  • こうした執行措置が引き起こす 評判の毀損 を、企業がどれほど考慮しているのか気になります。
    最近、小さなバイオテック系スタートアップの情報を検索していて、こんなものを見ました: https://udrp.adr.eu/decisions/detail?id=65fab3e46fc02956a01040a9
    今後その会社名を聞くたびに、たぶんまずこの件を思い出すでしょう。

    • 自分の姓をドメインに使っていた人を相手に訴訟を起こしたとは驚きです。自分たちの 商標権 が相手の家族名の使用まで禁じられるべきだと考えたわけです。
      しかもその商標は、その人が自分の名前を使い始めた後に登録されたものでした。
    • Scipio 氏はドメインを失わないために証拠を出し、プライバシーを失い、ドメインを使う理由を正当化しなければなりませんでした。
      これだけでも UDRP が非常に不公正であり、廃止されるべきだという十分な証拠です。
      「早い者勝ち」のほうが、「立証責任は被告にある」などというたわごとよりはるかに公正です。
      いつか ICANN はもっと良い何かに置き換えられるべきです。
    • 彼は 5,000 ユーロで売る意思さえありました。誰かが金を要求したという事実に腹を立てるのではなく、その小さな金額をただ払っていればドメインを得られたはずなのに、本当に滑稽です。
      Christian が勝ってよかったし、相手は間抜けに見えます。
      ただ、ひとつ疑問も湧きます。かなり前から arp242.net を持っていますが、これはもちろん実名ではありません。どこかの会社が「arp242」を商標登録して、私のドメインを奪えるのでしょうか?
    • こういう行動はさらに多くの視線と関心を呼び込み、よく知らなかったり立場を持っていなかった人までその会社を否定的に見るようにします。
      https://en.m.wikipedia.org/wiki/Streisand_effect
    • Nissan Computer Company の Uzi Nissan を思い出します。
  • CrowdStrike に伝えるなら、今回の件で自社ブランドに追加的かつ広範な損害を与え、訴訟をためらっていた人たちにさらに大きな勇気を与えた可能性が高いです。
    非倫理的な行為と DMCAの乱用 は、最終的に CrowdStrike を罰するために使われるでしょう。
    ClownStrike の停止に成功すれば、さらに嫌われることになるでしょう。
    ブランド、評判、顧客と業界の信頼と好意を粉々にする過程をどうぞ楽しんでください。

    • 企業が評判の毀損の後で名前を完全に変えることは時々あります。
      もしかして CrowdStrike は後で clownstrike に社名変更して評判被害を避けようとしているので、今のうちに攻撃しているのでしょうか?
  • コンテンツと読者の間の 仲介者 をできるだけ減らすべき理由がこれです。
    理想的なのは、自前の ASN、契約済み回線、自前の物理サーバーを持つことです。そうすれば削除対象は上位の帯域プロバイダーだけになります。
    そこにホスティング事業者、エッジキャッシュ・ファイアウォール事業者、商用 CMS など、対象がひとつずつ増えていきます。だから中間地点は慎重に選ぶ必要があります。
    商用 CMS を選ぶと格好の標的になるようで、Cloudflare を選んでもそう見えます。

    • Cloudflare は、CEO が個人的に攻撃されたと感じた時にだけ嫌がらせに立ち向かうようです。
    • この件では Cloudflare は理解不足のせいでさらに恥をかきました。商標権の通報著作権の通報 を区別できず、前者を後者として誤って表示したからです。
      フェアユースに当たるかどうかとは別に、DMCA は商標権紛争には適用されません。
    • 次は Cloudstrike.com でしょうか?
    • https://madattheinternet.substack.com/p/where-the-sidewalk-ends-the-death
  • CSC のことはよく知っており、彼らから偽の DMCA削除要請 を何度も受け取ってきた
    普通は DMCA のように見せかけてくるが、ロゴが著作権 (c) ではなく商標 (TM) になっていることが多い。だから DMCA は送れない
    基本戦略は、ネット上に偽の DMCA を大量にばらまき、ブランドにとって好ましく見えないものすべてを標的にすることだ
    要請はこれまで 100% 無視してきたが、今のところ何も起きていない。彼らはこうした要請を何百万件単位で送っているのだと考えるべきだ

  • この投稿の推薦数を見ると、CrowdStrike は大きな PR上の失敗 をしたようだ

    • 数年後に CrowdStrike が「パロディに偽の DMCA を送る会社」として知られるなら、それはものすごい成功かもしれない
      今は否定的な注目への転換でさえ、彼らには好都合かもしれない
    • ここでは ストライサンド効果 がしっかり働いている。もはや単なる PR ミスを超えていて、主要メディアが取り上げることを期待している
    • 売上に打撃がなければ、誰が気にするのか?
    • CrowdStrike の代わりにブランド評判会社がやらかしたのだと思う。CrowdStrike の内部者が直接関与していた可能性は低そうだ
  • Cloudflare の弁護士は CrowdStrike に失せろと言うべきだった
    DMCA の著作権条項 は著作権のあるコンテンツにしか適用されず、商標には適用されない
    Cloudflare は責任を負わずにこの道化たちに失せろと言えたはずで、むしろ偽の DMCA 請求への対抗措置を取ると脅すことすらできたはずだ

    • すべてのインターネット事業者が DMCA の条項を使って負担を請求者側に跳ね返すわけではない。そうするのは一部だけだ
      一般に、無料プランのあるインターネット事業者や CDN ではそれは難しい。悪意ある行為者が無料プランを大量に悪用するからだ
      一方、既知の顧客から実際に金を取っているインターネット事業者や CDN は、顧客をオンラインに保つためのあらゆる法的手段が尽きるか、上位事業者側で他の顧客まで脅かされて引き下がるまで、通常は停止しない
      これは単に払った金額に見合うサービスを受けるという話ではなく、同じ事業者を使う全員がコストを負担していることを確認し、問題が起きてからではなく事前に事業者と話し合っておくという話だ
      このやり方を使うにはすべてのつながりがそうである必要があり、そうでなければ別の法域でホスティングしなければならないが、データやコンテンツによっては不可能な場合もある
      米国にいる必要があるなら、聞く前に落とさないインターネット事業者、CDN、DNS レジストラ、データセンター、バックボーン事業者を探さなければならない
      でたらめな理由で顧客を落とすことを拒んだ事業者だったこともあるし、顧客が脅されたときに私たちを落とすことを拒んだ上位事業者の顧客だったこともある。大企業が法廷まで行くと強硬に構えたときも、屈する代わりに金を使い、大企業はたいてい即座に負けた。そして EFF にも寄付した
    • Cloudflare がコンテンツを削除せず、そのコンテンツが侵害物だった場合、免責保護 を失う可能性があった [1]
      このケースでは、そのウェブサイトは明らかにパロディだ。この件は DMCA の問題をよく示している。詐欺的な DMCA 要請はコストを発生させるが、ほとんど処罰されない
      [1] https://www.dmca.com/FAQ/What-is-a-DMCA-Takedown
  • CrowdStrike/CSC は少なくとも 2012 年から clownstrike.com と clownstrike.net を所有していたが、新しい トップレベルドメイン までは押さえられていなかったようだ

    • その通り [0]。だがさらに驚くべきことに、clownstrike.com は crowdstrike.com にリダイレクトされる
      なぜこれが良い考えだと思ったのかは分からないが、そのおかげでウェブ上でそれを指すときに実際に clownstrike.com を使える
      [0] https://www.whois.com/whois/clownstrike.com
    • 変化の速い動的な環境で継続的に押さえ続けるのは難しいこともある。幸い、彼らは EDR を運用しているわけではない
    • .xxx トップレベルドメインが開放されたとき、company_name で働いていて、上司は company_name.xxx を買うべきだと確信していた
      説得して思いとどまらせたが、幸い今のところ誰も悪意を持って company_name.xxx を登録していない。もちろんいつでも起こり得ることではある
    • そう考えたこと自体、かなり驚きだ。もしかしたら私が世間知らずなのかもしれない
      他にどんなパロディ名や派生名を所有しているのか気になる
    • いまやトップレベルドメインは 2,000 個ほどあって、しかも増え続けているのでは? 可能なパロディドメインをすべての TLD で所有するのは現実的ではなさそうだ
  • ストライサンド効果 が完全に発動している
    HN の中でもこのパロディサイトを知らなかった人は多かっただろうが、これで知られるようになり、積極的に見に行くようになるだろう
    数千億ドル規模の産業を運営している人たちが、社会経済的な力学における行動の基本的な意図せざる結果をまったく学んでいないように見えるのは残念だ

    • 結果は事実上何もない。彼らは自分たちが何をしているか分かっていて、学ぶべきこともない
    • HN ユーザー 1,000 人がこのサイトを訪れたとして、それで何が変わる?
  • ClownStrike がサイトを落としたかったなら、別の バグ入りアップデート を配布すればよかった
    そうすれば、そのサイトもインターネットの残りと一緒に落ちていただろう

    • 次に打撃を受けるのは、CrowdStrike のすべてのアップデートを何の検証もなく全デバイスに即時許可するサイトだけだ
      有能な IT 部門なら、もうこのような形で事業を危険にさらすことはできないと学ぶだろう
      とりわけ航空会社は、CrowdStrike であれ Microsoft であれ、こうしたことが繰り返されれば数億ドルの損失に耐えられないと認め、まずテストシステムにだけアップデートする方法を整える必要がある