誰か、CloudflareがCanonicalを脅迫したのか説明してくれないか？

• Canonical の公開Webサービスは2026年4月30日16:33 UTCから約20時間停止し、Ubuntuリポジトリのエンドポイントも遅れて障害に入った
• 攻撃の犯行声明を出した親イラン系グループは、有料DDoSサービス Beamed を使ったと述べており、BeamedはCloudflare回避と住宅用IPローテーションを宣伝している
• Beamed のドメインと関連する登録・ルーティング基盤は、Cloudflare AS13335、Immaterialism、AS39287、Materialism s.r.l. の記録へとつながる
• AS39287の再割り当て と、Canonicalの archive.ubuntu.com・security.ubuntu.com の apex 証明書更新は、2026年2月27日の同じ24時間内に発生した
• Canonicalは攻撃中、security.ubuntu.com と archive.ubuntu.com だけをCloudflareへ移し、公開記録上では身代金ではなく有料サブスクリプションが移動した構図になっている

Canonical障害とCloudflare移行

• 2026年4月30日 16:33:37 UTC、Canonicalの監視システムは blog.ubuntu.com を Service Down と表示し、約10分以内に ubuntu.com、セキュリティ勧告API、開発者ポータル、企業サイト、教育プラットフォームなどの公開Webサービスも一緒に停止した
• 障害は 約20時間 続き、2026年5月1日12:44 UTCに Service Restored と記録された
• 犯行声明を出したグループは、自らを Islamic Cyber Resistance in Iraq または 313 Team と名乗る親イラン系グループで、有料サービスを利用したと明かした
• 攻撃ツールとして名指しされた Beamed は、複数のTLDで販売される商用のサービス拒否製品で、beamed.su はマーケティング・ブログサイト、beamed.st は顧客ログインポータルとして使われている
• Beamedの2026年4月のブログ記事は「Cloudflare回避」を宣伝し、住宅用IPローテーション と手動の「endpoint hunting」によってオリジンサーバーを見つける方法を含む3つの手法を掲げている
• 攻撃から1週間後も beamed.su と beamed.st はオンラインのままで、どちらも Cloudflare AS13335 のアドレスに解決された
• Canonicalの2つのリポジトリエンドポイントである security.ubuntu.com と archive.ubuntu.com も、その後 Cloudflare AS13335 のアドレスを使うようになった

Beamedと登録・ルーティング基盤

• Beamed の消費者向けドメインは Immaterialism Limited というレジストラを通じて登録されており、このレジストラは定額料金とJSON APIベースのドメイン登録を販売している
• Immateriali.sm は Cloudflareのネームサーバー である tani.ns.cloudflare.com と trey.ns.cloudflare.com を通じてプロキシされている
• Immaterialism Limited は英国 Companies House に 会社番号 15738452 で登録されており、2024年5月24日に設立された
• 設立時の取締役はコスタリカの Nicole Priscila Fernandez Chaves で、ロンドン Great Portland Street の大量郵便受け住所を使っていた
• 2025年4月11日、Fernandez Chaves は取締役を退任したが、75%超の経済的利害関係 は維持し、同じ住所で英国居住者の Naomi Susan Colvin が後任取締役に任命された

2026年2月27日のAS39287再割り当て

• 2026年2月26日、Immaterialism Limited は Companies House に同日付で2つの変更を提出した
  • 登録事務所を 85 Great Portland Street から 167-169 Great Portland Street へ変更した
  • Fernandez Chaves の person with significant control の詳細を変更した
• 翌日の2026年2月27日、Beamedと関連サービスのIP空間を告知する ルーティング基盤 が管轄を移した
• Materialismのアドレス空間を告知する自律システムは AS39287 で、RIPEは2006年1月24日にこのAS番号を割り当てた
• AS39287のルーティング上の同一性は維持されたが、登録上の運用者と国の記録は2度変わった

• Privactually LtdとFLATTR-ASの時代

  • 2017年ごろから2020年ごろまで、AS39287はキプロス企業 Privactually Ltd が保有し、FLATTR-AS という名前で運用されていた
  • Flattrは、The Pirate Bayの共同創業者の1人 Peter Sunde Kolmosoppi のマイクロペイメントプロジェクトにつながる
  • その登録の下でプレフィックスの abuse 連絡先は abuse@shelter.st だった

• ab stract ltdの時代

  • 2020年から2026年まで、同じAS番号はヘルシンキ Urho Kekkosen katu 4-6E に所在するフィンランド企業 ab stract ltd に再割り当てされていた
  • RIPE記録の maintainer オブジェクトは BKP-MNT で、記録上の人物は The Pirate Bay のもう1人の創業者 Peter Kolmisoppi だった
  • 運用者ドメイン abstract.fi の権威ネームサーバーは njalla.fo、njalla.no、njalla.in の3つのNjallaネームサーバーだった
  • Njalla は Peter Sunde が作った privacy-as-a-service のドメインプロキシで、セントクリストファー・ネイビスの 1337 Services LLC を通じて運営されている

• Materialism s.r.l.への再割り当て

  • 2026年2月27日 12:11:48 UTC、RIPEは3回目の再割り当てを記録し、AS39287 はルーマニア・ブカレスト Bulevardul Metalurgiei に所在する Materialism s.r.l. の所有となった
  • 再割り当てには 45.158.116.0/22、2001:67c:2354::/48、2a02:6f8::/32 が含まれ、最後のIPv6プレフィックスは前体制のもとで2008年8月に初めて割り当てられていた
  • 3回の移行期間を通じてピアリング設定は維持され、AS39287は AS42708(Telia)、AS37560(GTT)、AS12552(GlobalConnect)、AS34244(Voxility)、AS54990 と同じ構成で import/export を続けた
  • 同じ経路が同じアップストリームネットワークへ出ており、公開記録で変わったのは見かけ上の運用者名だけだった
  • IANAの公認ドメインレジストラ一覧には、Immateriali.sm の顧客基盤に Njalla の背後にいる取引法人 1337 Services LLC が含まれている

同日に発生したCanonical証明書ローテーション

• Canonicalのリポジトリエンドポイントの証明書透明性記録には、ルーティング再割り当てが起きた同じ 24時間のウィンドウ の中で複数の項目が現れる
• 2026年2月27日 06:14:03 UTC、Let’s Encrypt が archive.ubuntu.com の新しい apex 証明書を発行した
• 同日 19:13:35 UTC、Let’s Encrypt が security.ubuntu.com の新しい apex 証明書を発行した
• security.ubuntu.com の2026年の証明書透明性記録では、この項目以前は地域ミラー証明書しかなく、可視ログにはそれ以前の apex 証明書 は現れない
• 同日 22:14:03 UTC、clouds.archive.ubuntu.com の新しい証明書が発行された
• その後9日間、同じパターンが azure.archive.ubuntu.com、wildcard-gce.archive.ubuntu.com、wildcard-ec2.archive.ubuntu.com で繰り返された
• それぞれの新しい証明書は地域ミラーではなく、apex ホスト名 に発行された
• apex ホスト名の有効なオリジン証明書は、そのホスト名をコンテンツ配信ネットワークの背後に置くための前提条件として扱われる
• 2026年2月27日に起きたルーティング再割り当てとCanonicalの証明書ローテーションの同時性は、公開記録だけでは説明されない

攻撃タイムライン

• タイムラインは Canonical の status.canonical.com ページにあった分単位の障害ログに基づいており、4月30日ごろ22:52 UTCに Ubuntu Discourse thread 81470 にスナップショットとして残された記録である

• 最初の10分: 公開Web全体の障害

  • 16:33:37: blog.ubuntu.com が最初に Down と表示され、Incident Start Time として記録された
  • 16:34:10: canonical.com Down
  • 16:34:45: academy.canonical.com Down
  • 16:35:15: developer.ubuntu.com Down
  • 16:35:22: maas.io Down
  • 16:36:09: jaas.ai Down、Ubuntu Security API(CVEs) Down
  • 16:37:13: Ubuntu Security API(Notices) Down
  • 16:41:57: assets.ubuntu.com Down
  • 16:43:25: ubuntu.com Down
  • セキュリティ勧告フィードは開始後 3分以内 に落ち、マーケティング apex は10分以内に落ちた
  • この時点でまだ攻撃されていなかったホストは security.ubuntu.com と archive.ubuntu.com で、これら2つのエンドポイントはすべてのUbuntuインストールで apt update の失敗を引き起こしうるリポジトリエンドポイントだった

• 3時間後のリポジトリエンドポイント攻撃

  • 19:34:38: security.ubuntu.com が最初に Down と表示された
  • 19:40:01: archive.ubuntu.com Down
  • リポジトリエンドポイントは攻撃開始から 約3時間後 に障害へ入った
  • 19:40 UTCから次の70分間、2つのリポジトリエンドポイントはステータスボード上で Down と Operational を繰り返した
  • ステータスログには、その期間中 security.ubuntu.com の Down/Operational 切り替えが5回、archive.ubuntu.com の切り替えが4回記録されている
  • このパターンは、オリジン側でレート制限、地域フィルタ、トラフィックスクラビングのような緩和を試みたが、公表された 3.5 Tbps 規模の持続負荷の下で失敗した様子と符合する

• 20:50 UTC以降の安定化

  • 20:50:29: archive.ubuntu.com Operational
  • 20:51:13: security.ubuntu.com Operational
  • この 44秒間隔 の後、22:52 UTCまで続くキャプチャスナップショットでは、2つのホストは再び Down として現れない
  • フラッピングは止まり、2つのエンドポイントは攻撃開始から 4時間17分 の時点で1分未満の間隔で同時に安定化した
  • security.ubuntu.com と archive.ubuntu.com は執筆時点で 104.20.28.246 と 172.66.152.176 に解決され、これらのアドレスは Cloudflare が AS13335 で運用するアドレスである
  • その他の影響を受けたホストである ubuntu.com、canonical.com、launchpad.net、snapcraft.io、login.ubuntu.com は、依然として Canonical の AS41231 空間である 185.125.189.x と 185.125.190.x に解決される
  • ubuntu.com の権威ネームサーバーは依然として ns1.canonical.com、ns2.canonical.com、ns3.canonical.com である

選択的なCloudflare移行

• Canonical は、攻撃者がリポジトリ停止のために狙った security.ubuntu.com と archive.ubuntu.com の2つのAレコードだけをCloudflareへ渡した
• 残りのサービスはCanonicalの自前インフラに残り、既存の緩和策の下で攻撃に耐えた
• リポジトリ以外のホストはスナップショットの終端までフラッピングを続け、その後はアップストリームフィルタリングと攻撃緩和または停止の組み合わせで復旧した
• Canonical の最初の公式な公表は5月1日 07:13 UTCに投稿され、これはリポジトリエンドポイントが Cloudflareの背後で安定化してから10時間後 だった
• すべてのコンポーネントの完全復旧は5月1日 12:44 UTCに確認され、攻撃開始から 約20時間後 だった

「脅迫」かどうかを巡る構図

• 公開に確認できる経路では 身代金の支払い は動いていない
• その規模の暗号資産の流れも公開記録には現れない
• 要求書も公開されておらず、交渉があったとしても非公開で進んだ可能性が高い
• 公開記録上で動いたのは 有料サブスクリプション である
• Canonical の最も価値の高い2つのエンドポイント、すなわち自動セキュリティ更新の世界的失敗を引き起こしうるリポジトリエンドポイントが、Cloudflareとのサービス関係へと移行した
• 同時にCloudflareの他の現行顧客には、Canonicalを攻撃していた booter運営体 が含まれている
• Beamed が引き続き雇える状態にあり、Canonicalインフラの障害時間が締め切りのように機能したことで、別個の公開要求がなくても取引が成立した構図として解釈される
• 防御側は両側から収益を得ながらも、その都度コンテンツ中立で利用規約の文言内にとどまる形になる

競馬通信網独占との比較

• 1930年代、Moses Annenberg の General News Bureau は、全米の bookmaker に競馬場の結果を迅速に販売していた
• 購読した bookmaker は生き残り、購読しなかった bookmaker は、購読した競合のせいでオッズ設定能力を失ったという比較が付される
• Annenberg の収益は競馬結果の検証に対する 独占 に依存し、この独占によって非公式 bookmaker は営業のために彼の wire に依存するようになった
• 連邦政府は1939年の 税務起訴 によってこの独占を崩し、その後の wire service も1940年代まで摘発された
• 1942年の Mayor LaGuardia 関連報道 には、ニューヨーク、ニュージャージー、Westchester、Nassau County の競馬賭博業者と poolroom bookmaker 向けの「年100万ドルの wire service」摘発で9人が逮捕されたとある
• 今日の DDoS防御市場 は、booter市場との関係において似た位置にあるという批判につながる
• Cloudflare の収益は、公開インターネット上でサービスが到達可能かどうかを検証する位置に依存しており、同じ企業が booter のホスティング提供者でもあるとき、脅威と保護の役割が1つの収益フローに統合される

公開記録に残った痕跡

• この事件の痕跡は複数のレジストリと企業開示に分散して残っている
• Companies House には企業書類があり、RIPEデータベース にはルーティング再割り当てがあり、証明書透明性ログには apex 証明書ローテーションの日付があり、Canonical のステータスページにはレコードが変わった時刻が残っている
• 2026年2月27日には3つの準備が同じカレンダー上のウィンドウで完了した
  • Materialism s.r.l. が AS39287 とそれに付随する古いIPv6プレフィックスの所有権を取得した
  • Immaterialism Limited が Companies House 書類を提出した
  • Canonical 側では、後にコンテンツ配信ネットワークの背後へ移される2つの apex ホスト名がオリジン証明書を更新した
• 攻撃開始から Canonical のリポジトリホスト名にCloudflareアドレスが現れるまでの 4時間の間隔 は、購買判断が動いた区間として解釈される
• 2026年4月30日 20:50:29 UTCに、新しい顧客関係が公開的に見えるようになった