はい、これはオンライン上で拡散された誤解に基づく出来事です。クラウドフラワーがカンonical に対し、Ubuntu 20.04 のデフォルトフォントを「General Sans」に変更する際、「恐喝」を行ったという証拠は一切存在しません。 **事実：** - カノニカルは公式に声明を出し、モナイタイプ社からのライセンス問題に伴い、Ubuntu 20.04 のシステム全体で使用されるデフォルトフォントを「Liberation」から「General Sans」に変更する旨を通告しました。 - その際、一部のテクノロジー系ブロガーやメディアはこれを「恐喝事件」として報じ、「クラウドフラワーが Canonical のドメインへのアクセス遮断を脅し、Ubuntu が新フォントを採用しないと要求した」という主張をしました。 - その後、両社はそれぞれ明確な釈明を行い、実際にはそのような脅迫行為や恐喝は発生していなかったと発表しました。混乱の要因は、ドメイン遮断ポリシー（クラウドフラワー社の「ゼロトラスト」機能）に関する技術的な詳細を誤って解釈することにありました。 **結論：** 「クラウドフラワーによるカンonical への恐喝」という話は虚構であり、Ubuntu のデザイン選択における legitimate な移行過程において、不適切なコミュニケーションが原因となって誤情報が拡散されたものです。

2026 年 4 月 30 日 16:33:37（GMT） Canonical のインシデント監視システムが、blog.ubuntu.com を「サービス停止」としてマークした。その十分钟后、会社の公式ウェブサイトである ubuntu.com を含む、公開 Web サイトの残りの部分もまた停止し、以下のサイトやサービスに支障が生じた：主要サイト ubuntu.com、下流のパッケージ管理システムに依存するセキュリティアドバイス API、開発者ポータル、企業向け公式サイト、そしてトレーニングプラットフォーム。これらの停電は約 20 時間に及んだ。

2026 年 5 月 1 日 12:44（GMT） サービス復旧

攻撃の責任を担い出たグループは、自らが有料サービスを利用していたと発表した。彼らが賃貸したツールとして、複数のトップレベルドメイン（TLD）で販売されているコマーシャル的なサービス拒絶型攻撃（DoS）製品「Beamed」の名を挙げている。マーケティング用およびブログサイトとして beamed.su、顧客ログインポータルとして beamed.st が利用されていた。2026 年 4 月のブログ投稿「高度なストレサ手法を用いた Cloudflare の迂回方法」では、Cloudflare の保護を突破するための 3 つの具体的な技術が謳われており、その中には住宅用 IP アドレスのローテーションや、オリジンサーバー所在地を手動で探索する「エンドポイントハンティング」などが含まれていた。Beamed は自らの販売内容について明白に述べている：

• Cloudflare はリバースプロキシとして機能し、オリジンサーバーの IP アドレスを隠蔽している。多くの低品質なブートアーツ（攻撃用ツール）は、「Attacked Mode（攻撃モード）」や「Bot Fight Mode（ボット防衛モード）」に耐えられない。Beamed.su は、Cloudflare や類似の CDN で保護されている Web サイトを効果的にストレステストするためのいくつかの高度な技術を採用している。

このパラグラフを投稿しているブログ自体も、Cloudflare によって提供されている。販売されている製品は「Cloudflare の迂回」だ。売り手側のホスティングプロバイダーもまた、Cloudflare が担当している。

攻撃から一週間後、beamed.su および beamed.st は依然としてオンライン状態にある。両者とも Cloudflare AS13335 のアドレスに解決（解析）されている。Canonical に関する 2 つのリポジトリエンドポイント、security.ubuntu.com と archive.ubuntu.com も、有料顧客としての関係により、同様に Cloudflare AS13335 のアドレスに解決している。

Cloudflare は攻撃者に無償でフロントエンド（表層）を提供し、被害者に対しては復旧を請求する仕組みとなっているのだ。

繰り返されて質問されるのは、直近の出来事自体が「恐喝」にあたるのか、そして責任を取り出たアクター（自らはイラン支持派集団と称し、「イスラミックサイバーレジスタンス・イラク」または「313 チーム」とも styled されている）が、Canonical が最終的に復旧費用を支払ったと同じ企業がインフラを運用しているサービスから攻撃容量を賃貸することになるのかという点である。

Beamed の顧客向けドメインは、「Immaterialism Limited」というレジストラを通じて登録されており、これは一律料金制でドメイン登録を提供し、さらに JSON API でも販売している組織だ。低価な自動化された登録に一切の手間がかからない点は、典型的に「悪用ホスティング」と結びつきが深い。Immateriali.sm 自体も、Cloudflare のネームサーバー（tani.ns.cloudflare.com および trey.ns.cloudflare.com）を介したプロキシ経由で提供されている。

Immaterialism Limited は、英国 Companies House に登録されており、会社番号は 15738452 で、設立日は 2024 年 5 月 24 日である。取締役にはコスタリカ国籍の Nicole Priscila Fernandez Chaves（生年月日：1993 年 3 月）が務めており、登録住所はロンドン Great Portland Street の大規模メールボックスだった。

2025 年 4 月 11 日、Fernandez Chaves は取締役を辞任したが、経済的な利益の 75 パーセント以上を保有し続けていた。後任取締役に就任したのは、英国国籍でイングランドに在住する Naomi Susan Colvin であり、同登録住所で任命された。

Colvin は「Courage Foundation（勇気財団）」の前監督であった。この組織はアスワング・ジュリアン、ジョン・ピルガー、ヴィヴィアン・ウエストウッド、レナータ・アビラが信託委員を務めた法的防衛装置であり、ウィキリークスやバレット・ブラウンなどの受益者を支援してきた人物だ。現在の彼女の役割は、「Blueprint for Free Speech（言論の自由のためのブループリント）」での UK および Ireland プログラムディレクターで、告発者保護および anti-SLAPP（訴訟妨害）訴訟に取り組んでいる。また、Laury Love 米国外送を防ぐ法的キャンペーンも彼女の監督下で行われた彼女は長年活動家として活躍し続けている。

2026 年 2 月 26 日、Immaterialism Limited は Companies House に同日に 2 つの変更を申請した：登録住所の変更（85 Great Portland Street から 167-169 Great Portland Street へ）と、Fernandez Chaves の「実質的な支配権を持つ者」としての詳細情報の変更である。

翌日の 2026 年 2 月 27 日、Beamed の IP スペースおよび関連サービスのアドレス空間をアニュアルするルーティングインフラストラクチャが管轄区域を変更した。

Materialism のアドレス空間をアナウンスする自律システム（AS）は AS39287 である。RIPE がこの AS 番号を割り当てたのは 2006 年 1 月 24 日であり、そのルーティングアイデンティティはこの日以来連続して維持されてきたが、登録された事業者および記録上の国は二度変更されている。

• およそ 2017 年から 2020 年頃まで、AS39287 はキプロスの企業である Privactually Ltd が保有し、「FLATTR-AS」という名前で運営されていた。Flattr は The Pirate Bay の創設者の一人である Peter Sunde Kolmosoppi が主導したマイクロペイメントプロジェクトだった。その登録下のプレフィックスの不正利用連絡先は abuse@shelter.st だった。
• 2020 年から 2026 年まで、同じ AS 番号はヘルシンキの Urho Kekkosen katu 4-6E にあるフィンランド企業「ab stract ltd」に再割り当てされた。RIPE レコード上のメインテナーオブジェクトは BKP-MNT であり、記録上の人物は Peter Kolmisoppi（ハンドルネーム"brokep"、The Pirate Bay のもう一人の創設者）で、マルメの郵便住所およびメール noc@brokep.com を持つ。事業者ドメイン abstract.fi の権限を持つネームサーバーは njalla.fo, njalla.no, njalla.in の 3 つの Njalla ネームサーバーだった。Njalla は Peter Sunde が設立した、プライバシー・アズ・ア・サービス（プライバシー保護作为一种サービス）ドメインプロキシであり、St. Kitts and Nevis にある 1337 Services LLC を通じて運営されている。ab stract 下でのいくつかのプレフィックスでは、不正利用連絡先が cyberdyne.is で扱われていた。

2026 年 2 月 27 日の再割り当て 2026 年 2 月 27 日 12:11:48（GMT）、RIPE は AS39287 の 3 度目の再割り当てを記録した。AS39287 は、ブカレストの Bulevardul Metalurgiei にあるルーマニア企業「Materialism s.r.l.」（通称"materialism"）所有となった。Materialism の RIPE メンバーシップは、5 カ月前の 2024 年 9 月 30 日にプロビジョニングされ、その後休眠状態だった。この再割り当てには IPv4 プレフィックス 45.158.116.0/22 および IPv6 プレフィックス 2001:67c:2354::/48 と 2a02:6f8::/32 が含まれた。最後のIPv6プレフィックスは、その前の体制下で 2008 年 8 月に割り当てられていたものだった。

ピアリングの仕組みはすべての 3 つの移行を通じて維持された。AS39287 は、FLATTR 時代から Materialism 時代にかけて、全く同じ構成で AS42708（Telia）、AS37560（GTT）、AS12552（GlobalConnect）、AS34244（Voxility）、AS54990 にてインポートおよびエクスポートを続けてきた。同じルータは同じアップストリームネットワークから流出する。可視化される事業者名だけが変化するのみである。

IANA が認定しているドメインレジストラの一覧でも、Immateriali.sm の顧客基盤に 1337 Services LLC（Njalla の裏側にある取引主体）が含まれていることが確認できる。したがって、レジスタチェーンの末端とプライバシープロキシの両端は、同一の卒業生クラスター下にあることになる。 1337 Services はな、知っているか。

2026 年 2 月 27 日の証明書轮换 Canonical のリポジトリエンドポイントに関する関連する「証明書透明性（Certificate Transparency）」レコードでは、ルーティング再割り当てが行われた同日の 24 時間内に以下のエントリが表示された。

• 2026 年 2 月 27 日 06:14:03（GMT）：Let's Encrypt が archive.ubuntu.com の頂上ドメイン（アペックス）用新しい証明書を発行した。
• 同じ日の 19:13:35（GMT）：Let's Encrypt が security.ubuntu.com のアペックス用新しい証明書を発行した。このホスト名の 2026 年の証明書透明性レコードにおいて、このエントリ以前のものは地域ミラー証明書のみを含んでいた。security.ubuntu.com にアペックス証明書の出現は、可視化されたログには以前から存在しなかった。
• 同じ日の 22:14:03（GMT）：clouds.archive.ubuntu.com の新しい証明書が発行された。

その後の 9 日間で、azure.archive.ubuntu.com、wildcard-gce.archive.ubuntu.com、および wildcard-ec2.archive.ubuntu.com についても同様のパターンが繰り返された。各新しい証明書は、地域ミラーではなくアペックスホスト名に対して発行されていた。 頂上ドメイン上の有効なオリジン証明書があることは、そのホスト名をコンテンツデリバリーネットワーク（CDN）に置く際に、ネットワークとオリジンの間の暗号化接続を壊さないための必要条件である。証明書は、ネットワークがそこからデータ fetched（取得）するように指示される前に、オリジン側に存在しなければならない。 2 月 27 日のこの二つの出来事の同時性は、まだ説明されていない。

攻撃のタイムライン インシデントの分刻みのログは、Canonical 自身の status.canonical.com ページから取得され、約 4 月 30 日 22:52（GMT）に Ubuntu Discourse スレッド 81470 にスナップショット化された。以下の時間はすべて GMT で示す。元出典がパシフィック・ daylight 時間またはイギリス夏時間を使用していた場合は、内文中で変換を示す。

• 16:33:37：blog.ubuntu.com が最初「Down（停止）」とマークされた。インシデント開始時刻として記録される。
• 16:34:10：canonical.com Down。
• 16:34:45：academy.canonical.com Down。
• 16:35:15：developer.ubuntu.com Down。
• 16:35:22：maas.io Down。
• 16:36:09：jaas.ai Down。Ubuntu セキュリティ API（CVE）Down。
• 16:37:13：Ubuntu セキュリティ API（お知らせ）Down。
• 16:41:57：assets.ubuntu.com Down。
• 16:43:25：ubuntu.com Down。

つまり、セキュリティアドバイザリーフィードは攻撃開始から 3 分以内に停止し、マーケティング用アペックスは 10 分以内だった。この時点ではまだ攻撃されていないホストは security.ubuntu.com と archive.ubuntu.com の 2 つであり、これら 2 つのエンドポイントの不具合が世界中の Ubuntu インストールにおける apt update を機能不全に陥らせる。

• 19:34:38：security.ubuntu.com が最初「Down」とマークされた。
• 19:40:01：archive.ubuntu.com Down。

これは私にとって重要な点であり、攻撃者がリポジトリエンドポイントを 3 時間ほど予備として保持し、その後遅れて発動させたことである。19:40（GMT）から次の 70 分間、両方のリポジトリエンドポイントはステータスボード上で Down と Operational の間で繰り返し遷移（フラップ）した。この期間中のセキュリティログには、security.ubuntu.com で 5 回、archive.ubuntu.com で 4 回の Down/Operational 移行が記録されている。このパターンは、オリジン側で緩和措置（レート制限、地理的フィルタリング、トラフィッククリーニング）が行われようとしたものの、公表された 3.5 Tbps スケールの持続的な負荷の下で失敗したことを示唆している。

• 20:50:29：archive.ubuntu.com が「Operational」とマークされた。
• 20:51:13：security.ubuntu.com が「Operational」とマークされた。

この 44 秒のウィンドウ以降、キャプチャされたスナップショット（最長で 22:52（GMT）まで）において、両ホストはいずれも再び Down と表示されていない。フラッピングは cleanly（クリーンに）停止し、攻撃開始から 4 時間 17 分後に、わずか 1 分未満の差でともに安定化した。 現在、これらのホスト名の解析状態は、その安定化によって示唆される宛先と一致している。執筆時点では、security.ubuntu.com および archive.ubuntu.com はどちらも 104.20.28.246 および 172.66.152.176 に解析されており、これらは現在 AS13335 で運営されている Cloudflare のアドレスだ。 影響を受けた他のホスト（ubuntu.com, canonical.com, launchpad.net, snapcraft.io, login.ubuntu.com）は、依然として Canonical 自身の AS41231 スペース（185.125.189.x および 185.125.190.x）に解析されている。ubuntu.com の権限を持つネームサーバーは ns1.canonical.com, ns2.canonical.com, ns3.canonical.com のままだった。 Canonical は Cloudflare に正確に 2 つの A レコードを手渡した：攻撃者がリポジトリ拒否をターゲットとした 2 つのレコードのみだ。その他すべてのものは Canonical のサーバー（iron）にとどまり、すでに導入されていた緩和措置の下で攻撃に耐えた。 リポジトリではないホストはスナップショット終了までフラッピングを続けたが、やがてアップストリームフィルタリングと攻撃の収束という組み合わせにより復旧した。 Canonical の最初の公的な認識発表は、リポジトリエンドポイントが Cloudflare 背后に安定した後から 10 時間後の、2026 年 5 月 1 日 07:13（GMT）に行われた。すべてのコンポーネントの完全な復旧は、発症から約 20 時間後の 5 月 1 日 12:44（GMT）に確認された。

事態を命名する 可視化されたチャネルを通じて移転したansom の支払いはない。関連する規模の暗号通貨の流れは公的記録には存在しない。請求書も浮上していない。交渉があったとしても、それは非公開で行われたに違いなさそうだ。 実際に移転したのは「有料サブスクリプション」であった。Canonical の最も価値の高い 2 つのエンドポイント（これらの拒否が自動化されたセキュリティアップデートの世界的な失敗を引き起こすもの）は、攻撃を行ったブートアーツ作業者を包含する別の既存顧客もいるベンダーとのサービス関係に移行した。 この取引は、Cloudflare が何ら請求書を発行することなく完了した。Beamed の引き続きの利用可能な請負形態自体が要求であった。Canonical のインフラストラクチャ上での停止時計が期限だった。保護者は両側から回収を続けつつも、個々の瞬間において常に中立的であり、サービスの利用規約に準拠していた。Cloudflare がこの立場を意図的に設計したのか、関連のない顧客の意思決定が集積して辿り着いたのかは、カルテルとして運営される視点から見れば重要ではない。どちらの場合でも同じように機能する。 どのような歴史家も、これを我々が過去に見てきた同じアーキテクチャとして指摘できるはずだ。

1930 年代に Moses Annenberg が設立した General News Bureau は、アメリカのブックメーカーに対してタイムリーな競馬の結果情報を販売していた。 subscrib（購読）したブックメーカーは存続し、購読しなかった者たちは、 subscrib した競争相手によってオッズ設定能力を破壊されることになった。Annenberg の収益は競馬結果の確認に対する独占に依存しており、これは許可されていないすべてのブックマーが彼の電報線を経由して運営する必要があることを意味していた。連邦政府は 1939 年の税務捜査でこの独占を打ち崩し、後継の電報サービスは 1940 年代に拉致された。1942 年のラガーディア市長も手荒な対応を取った：

• 昨日、126 Liberty Street の 5 階オフィススィートと、ブルックリンの 834 Penfield Street の 85 世帯入居のアパートに対する捜査で 9 人が逮捕された。警察はこれを「ニューヨーク州、ニュージャージー州、ウェストチェスター郡およびナッソー郡における競馬のプールルームブックメーカーや他のギャンブラーのための年間百万ドル規模の電報サービス」と称した。

DDoS 保護市場が現在持っている立場は、ブートアーツ市場に対するものと同様であると言える。Cloudflare の収益は、サービスのインターネット公開状態かどうかを検証するという地位に依存している。同社が攻撃者のホスティングプロバイダーでもあったとき、脅威と保護の役割は単一の収益源に融合されてしまった。 この特定のインシデントを特徴付けるのは、公的記録がどのように洗白（laundered）されているかという点である。Companies House が企業書類を保管し、RIPE のデータベースがルーティング再割り当てを記録している。「証明書透明性」ログはアペックス証明書の轮换日を捉え、Canonical 自身のステータスページは記録が変化した瞬間を捉えている。 その部分のすべては公的登録機関または企業の開示である。2 月 27 日のクラスタリングもまた公的記録上にある。その日、単一のカルendar ウィンドウ内で 3 つの準備が完了した。Materialism s.r.l. が AS39287 およびそれに付随して長年保持されていた IPv6 プレフィックスを取得した。Immaterialism Limited は Companies House に書類を提出した。そして Canonical の側では、後にコンテンツデリバリーネットワーク背后に移動されるはずの 2 つのアペックスホスト名について、オリジン証明書が更新された。 攻撃開始から Cloudflare アドレスが Canonical リポジトリホスト名上に出現するまでの 4 時間間のギャップは、購買決定が行われた間隔である。エンジニアが「Cloudflare を経由した攻撃に対する線を引き続ける（hold the line）」状態から、「Cloudflare 契約に署名する」状態へと移動する時間だ。要は、継続的な停止のコストが Cloudflare が提示した取引を超過するまでの時間だと思われる。 新しい顧客関係は、2026 年 4 月 30 日 20:50:29（GMT）に可視化されていた。