Cloudflareのブロック対象になると大変なことになるという体験談

自分ではまったく心当たりがないものの、どうやらCloudflareの逆鱗に触れてしまったらしいというネットユーザーが、その悲惨な状況を報告しています。

You don’t want to be on Cloudflare’s naughty list | Ctrl blog
https://www.ctrl.blog/entry/cloudflare-ip-blockade.html

ブログの筆者はノルウェー・オスロ在住のダニエル・アレクサンデルセン氏で、なにが原因かはわからないものの、1週間にわたって、ネット接続を要するアプリやウェブサイトで読み込みが遅かったり、部分的に壊れていたり、まったく読み込まれなかったりという事態に見舞われたとのこと。そのいずれでも、Cloudflareによりブロックされたというメッセージが表示されたそうです。

その際は、毎回のようにCloudflareの「チャレンジページ」が表示されてCAPTCHAの入力を求められるようになりました。幸いにしてCAPTCHAそのもので悩むことはなかったものの、ページの表示までにかかる時間が4秒以下から20秒～80秒ぐらいまで増えて、高速インターネットがなかった時代のことを思い出したとのこと。

原因としては、アレクサンデルセン氏のIPレピュテーション(IPアドレスの健全性)が高ボットスコアとして分類されたか、悪意のあるリクエストを送ってくる脅威スコアに分類されたかなどが考えられますが、Cloudflareはユーザーが自らのIPレピュテーションスコアを確認したり、スコアについて異議を唱えたりする手段を提供していないため、ユーザー側が特定することはできません。

さらに、アレクサンデルセン氏のパートナーはパスワード管理にBitwardenを利用していたため、Cloudflareによるチャレンジページが挿入されることでログインプロセスが中断され、アカウントへのログインまでできなくなってしまいました。一方で、アレクサンデルセン氏はKeePassXCというオフラインで動作するパスワードマネージャーを使っていたので難を逃れました。アレクサンデルセン氏は「ホストされたパスワードマネージャーを頼らなくていいように費やしてきた努力がようやく報われて、正直ちょっとうれしかった」とコメントしています。

結局、この事態は発生から6日後に解消されました。最終的に、何が原因だったのかはアレクサンデルセン氏にはわからないままだったとのことです。

このことについて、ソーシャルニュースサイトのHacker Newsでは、ボット対策を強固にすることで正規ユーザーがブロックされるのは本末転倒であり、「ボットをブロックすることでわずかなお金を節約できたとしても、10人の正規ユーザーをブロックしたり大きな迷惑をかけることになっているとしたら、その価値はあるのでしょうか」との指摘があります。