Cloudflareに目を付けられたせいで仕事で使うサイトにアクセスできなくなってしまった事例が報告される

Cloudflareは、CDNやセキュリティなどインターネットに関するさまざまなサービスで非常に大きなシェアを握っているため、個人や小規模事業者がひとたびCloudflareににらまれるとインターネットの大部分が使用できなくなるなど、さんざんな目に遭ってしまう可能性があります。スイスの製薬会社・Rocheに勤める計算生物学のジェームズ・ホーリー氏が、ささいなことからCloudflareの規制を受け、仕事に欠かせないサイトから遮断されてしまった経験談をつづりました。

Blocked by Cloudflare
https://jrhawley.ca/2023/08/07/blocked-by-cloudflare

ホーリー氏によると、インターネットユーザーがCloudflareを利用しているサイトにアクセスすると、サイト側は訪問者のブラウザの整合性チェックを行うとのこと。これには、ボットや悪質な脅威アクターなどのアクセスを遮断する機能がありますが、時には何の問題もないはずの善意の訪問者が「セキュアコネクションループ」という不具合に遭遇することがあります。

この問題に見舞われると、ユーザーは以下のようなCloudflareの画面から抜け出せず、ローディング中であることを示すマークが回転し続けるのを永遠に眺める羽目になります。

ホーリー氏もCloudflareの「セキュアコネクションループ」に遭遇しました。ブラウザの拡張機能を無効にしたり、プライベートブラウジングに切り替えたり、端末を再起動したりしても解決できなかったホーリー氏は、調べを進める中で「Firefoxを使用している場合は、about:configページでprivacy.resistFingerprintingオプションを無効化する」という記述を見つけます。

Firefoxの設定を確認すると、すでに機能が無効になっていたため、ホーリー氏は試しに「false」の値を「true」にしてみました。すると、無事に閲覧したいサイトにアクセスすることに成功したため、問題は解決したかのように思われました。

ところが、ホーリー氏は翌日さらに大きな問題に直面します。ホーリー氏が前述のサイトとは別の、仕事で必要な社内サイトにアクセスしたところ、Cloudflareにアクセスを拒否されてしまいました。

Firefoxの設定を元に戻しても変化はなく、職場のVPNにつながった仕事用の端末を使っていたホーリー氏は、仕事をするのに必要な社内サイトにアクセスできなくなってしまいました。

ホーリー氏は、おそらく最初の「セキュアコネクションループ」によりブラウザが短時間に何回もアクセスをしたせいで、Cloudflareに疑わしい訪問者だとタグ付けされたのが原因だと考えています。その後、ホーリー氏がフィンガープリントをブロックしたため、Cloudflareはついにホーリー氏を極悪非道なハッカーだと認定し、職場のサイトすら閲覧できないようにしてしまったというわけです。

幸いなことに、FirefoxではなくChromeを使ってみたところ、ホーリー氏は社内サイトにアクセスすることができました。しかし、Firefoxのようなプライバシー機能がないChromeをやむを得ず使用しているホーリー氏は、Chromeが収集したフィンガープリントに基づいて表示される広告に悩まされることになりました。

また、Firefoxでのアクセスが遮断される一方でChromeでは遮断されないということは、Cloudflareはホーリー氏のブラウザのフィンガープリントそのものか、または「フィンガープリントがない」という情報をもとにホーリー氏をブロックしていることを示しています。

今回の経験についてホーリー氏は、「このような経験こそ、私がウェブの将来について抱いていた懸念そのものです。私は自分が自分だという強力な証拠を持っていますが、コミュニケーションができない他者に期待された行動からほんの少し逸脱したために、必要なリソースへのアクセスがブロックされてしまいました。説明責任を果たせない企業に多くの権力を委ね、個人にはあまり権力を委ねないようなウェブの未来は、必然的にこのような状況を増やすことになるでしょう」と述べました。