難攻不落の巨大違法サイト「ドロップブックス」に攻め入る

「フリーブックス」の騒動以降、私はこのサイトを運営していたグループが他にも運営していると思われる違法サイトについて現在も継続的に調査を行っています。その中で最も悪名高いサイトが、海賊版の同人誌や成年コミックを掲載している「dropbooks(ドロップブックス)」です。

2014年の2月に現れたこのサイトは、かつては取り扱うコンテンツが成人向け漫画と一般漫画で分かれていました。

2014年2月のdropbooks
2014年2月頃のdropbooks (dropbooks.biz) (クリックで拡大 [キャッシュ])

しかし、同年8月下旬になって一般漫画の取り扱いをやめ、アダルト専用のサイトへと変化したようです。

サイトの規模は非常に大きく、ウェブサイトのアクセス調査サービスを手がける「SimilarWeb(シミラーウェブ)」によると、ドロップブックスは日本で38番目にアクセスの多いサイトにランクインしており、ここ6ヶ月間の訪問者数は計4000万人にも達しています。

このサイトが悪名高いと言われている理由に、アップロードされたファイルへの削除要請を権利者によるものであっても受け付けないという点や、削除されたとしてもすぐにまた同じファイルがアップロードされてしまうなど、その執拗さから、運営者らが「ユーザー生成コンテンツ(UGC)」というプラットフォームを装い、自身でファイルをアップロードしているのではないかという疑惑が生じていることなどがあります。

そんな中、私がこのサイトを調査していたところ、ある通常の処理をサイトに行わせると、サイトのデータベースに含まれるデータが漏洩するバグが存在することを発見しました。そして、その情報にはファイルをアップロードした投稿者のIPアドレスも含まれており、なんとその多くが実際のユーザーのIPアドレスではなく、サイト運営者らの所有するIPアドレスであるということが判明しました。つまり、疑惑通りこのサイトの運営者らはファイルのアップロードをユーザーからのものと偽り、自作自演で自分のサイトを盛り上げていたのです。

ここでデータベースについて簡単に説明しますが、ドロップブックスに限らず大抵のサイトのシステムではデータベースが用いられています。このデータベースは行と列が入り組んだ構造になっており、連絡帳で例えると氏名、住所、電話番号などの項目が存在する行がいくつもある状態です。ウェブサイトの場合はこのデータベースを参照し、電話番号のみを表示するなどといった操作をプログラムで自由に設定します。

ところがドロップブックスのシステムでは、指定した行のデータすべてを誤って表示させていました。このデータには投稿者のIPアドレスやユーザーエージェント(ブラウザ情報)などの情報が含まれており、それらは本来であればサイトのプログラムで表示しないように設定されていたはずでした。

下の画像でその証明をします。

ドロップブックスの情報漏洩
ドロップブックスの情報漏洩(クリックで拡大)

技術的な話をすると、画像に写っている dropbooks[.]tv/violent_file は投稿ファイルの通報時に XMLHTTPRequest のリクエスト先のURLで、このレスポンスデータはブラウザ上では表示されないので気づきにくいですが、デバッグ用だったのでしょうか、POSTした file_id のデータがまるごとダンプされていました(これはSQLインジェクションなどの攻撃とはまた違い、正常なリクエストを送信した結果としてこのように表示されています)。

私はこのバグが存在するうちに、サイトにアップロードされたファイルの投稿者の情報を入手することを考えました。しかしここにアップロードされたファイルの総数は40万件以上にも及び、それら全てを調べるわけにはいかないため、条件指定をして絞り込むことにしました。ここでは例として、キーワードを「艦隊これくしょん」、ダウンロード数の多さで並び替え、過去3ヶ月にアップロードされたものに期間を指定して検索しました。

「艦隊これくしょん」の検索結果
「艦隊これくしょん」の検索結果(クリックで拡大)

これらの上位10位のファイルIDをもとに、投稿者情報を収集した結果が以下になります。

[紅茶屋]COMING EVENT 総集編 (艦隊これくしょん -艦これ-)
ID: PEmTTEzCSW
ブラウザ: Internet Explorer 11 in Windows 10
IP: 114.148.230.82 (p6202-ipngn100303tokaisakaetozai.aichi.ocn.ne.jp)

[たぬきんぐすりーぷ]ぷりーず・ふぁっく・みー (艦隊これくしょん -艦これ-)
ID: tu1wtl6nff
IP: 217.182.137.220

[おふとんでスヤァ]Sweet Memory (艦隊これくしょん -艦これ-)
ID: Jeu0j5ChUz
IP: 217.182.137.220

[RAID SLASH (八尋)] 暗夜の補給線 (艦隊これくしょん -艦これ-)
ID: 9mf8H0dSKB
ブラウザ: Google Chrome 58 in Windows 10
IP: 183.77.128.56 (y039131.ppp.asahi-net.or.jp)

[In The Sky]yes. Sara is here... (艦隊これくしょん -艦これ-)
ID: yMbDUaZu3X
IP: 217.182.137.220

[魚ウサ王国]こすこす龍驤 (艦隊これくしょん -艦これ-)
ID: yuctOo2C4e
IP: 217.182.137.220

[ねこのこね]川内とHな私生活 (艦隊これくしょん -艦これ-)
ID: QJ9lNuKdLY
IP: 217.182.137.220

[小判堂]鹿島と夜の練習姦 (艦隊これくしょん -艦これ-)
ID: Q43zuBtocG
IP: 217.182.137.220

[木綿シリコン]洲ぐらし (艦隊これくしょん -艦これ-)
ID: d8JjkhB7xm
IP: 217.182.137.220

[かじむらマーケット]ですこん!!14 (艦隊これくしょん -艦これ-)
ID: 8ScdYvJ85r
IP: (なし)

上位10位のうち1つはIPアドレスが記録されておらず、ほかの7つは 217.182.137.220 による投稿で、驚くべきことにこれはドロップブックスの運営者が所有しているサーバーのIPアドレスでした。つまり、ドロップブックス自身がファイルをアップロードしていることになります。ドロップブックスはファイル投稿型サイトなどではなかったのです。

master.dropbooks.tv (217.182.137.220, フランス)

master.dropbooks.tv
http://website.informer.com/master.dropbooks.tv [キャッシュ]

他の2つについては、実際のユーザーがアップロードしたファイルのようです。これらのIPアドレスを照会した結果が以下になります。

https://www.nic.ad.jp/ja/whois/ja-gateway.html

114.148.230.82

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     114.148.128.0/17
b. [ネットワーク名]             OCN
f. [組織名]                     オープンコンピュータネットワーク
g. [Organization]               Open Computer Network
183.77.128.56

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     183.76.0.0/15
b. [ネットワーク名]             ASAHI-NET
f. [組織名]                     朝日ネット
g. [Organization]               Asahi Net

同様に、私はさらに運営者らに気づかれるまでに35000件以上もの投稿者の情報を取得することに成功しました。以下のURLでそれらのファイルを配布します。

キーワード未指定、期間未指定、並び替えをDL数で上位35000位(zip形式、25.87MB)

https://anonfiles.cc/file/881220b08000a3a237aa768bd10f5e8d

キーワード未指定、期間を1週間、並び替えをDL数で上位1000位

https://anonfiles.cc/file/c30b97e86a64e6ba6d80809e13c50830

キーワードを「東方Project」、期間を3ヶ月、並び替えをDL数で上位500位

https://anonfiles.cc/file/3dfe54e838cebd57bffe03a12b5722c7

これらの情報が法的な証拠になるかどうかについては、私は法の専門家でないため判断はできかねますが、取得したデータに記録されているIPアドレスなどの情報は本物と見て間違いないと考えています。うその情報を記録するようなシステムであれば、正直に自分らのもつサーバーのIPアドレスを記録するはずがないでしょう。

ドロップブックスだけでなく、系列サイトのフリーブックスもその執拗なファイルの掲載から、アップロードは運営者によるものではないかと疑われていましたが、それらは推測の域を出ませんでした。ところが今回の私の調査によって、それらの疑惑は本当であるということが証明されました。運営者らは自らが制作したユーザー参加型サイトというプラットフォームを隠れみのに、自分らでファイルをアップロードするという自作自演の違法行為を行っていたのです。

この組織が運営するサイトや、系列サイトについては引き続き調べを進めています。

この記事について何かありましたら、私のTwitter、もしくはホームページにある連絡先や、このブログのコメント欄(コメントは承認制です)にお願いします。

投稿をシェア

“難攻不落の巨大違法サイト「ドロップブックス」に攻め入る” への81件の返信

    1. 権利者は被害被ってるでしょ頭湧いてんの
      もしやこれから御用達の抜きサイトが減るかと恐れているのか…?

    2. 金は無い貧乏人のくせに性欲だけ人一倍あるお猿さんは
      こういうサイトがないと死んじゃうから大変ですねw

  1. 前にグロ画像が投稿されてたから運営以外も投稿できると思うんだがあってるかな
    運営がグロ投稿するとは考えにくいし

  2. 脆弱性を利用して入手した情報って、証拠に出来るの?
    後、記録する時にSERVERのIP記録してしまう作りなんじゃないの?そうじゃない根拠がないと説明にならない。
    やるなら徹底的に根拠示して。
    ただ先に開示すると対策されるから、著作権者とコッソリやって。

    1. 運営者らが所有するサーバーのIPだけでなく、実際にアップロードしたユーザーのIPも記録されています。

  3. そもそもアップロード側には収入にならない形式なんじゃ
    なら自演でアップして広告収入しかないわな

  4. 脆弱性を利用して非正規に入手した情報を不特定多数に公開しても良いのでしょうか?
    違法性を追求する姿勢は尊敬しますがミイラ取りがミイラにならぬよう慎重に行動することをお勧めします

  5. 脆弱性を利用して入手した情報を第三者に公開する、というのも立派な不正アクセス行為です。ブログとしてデータを公開するのではなく、直接警察に報告するに留めた方がブログ主の方も手を汚すことがなく、望ましいのではないのでしょうか。
    失礼いたしました。

    1. 普通にHTTPリクエストしたらレスポンスとして入っちゃいけないデータが返ってきちゃっただけでしょ
      脆弱性ではあるけど、違法な手段で得た情報じゃないからセーフじゃね。

        1. 合法な手段で入手した情報なら公開しても何ら違法じゃねーよ
          だいたい、ある意味ではすでに公開されてた情報だろうが

  6. ipって項目名だと何を意味するかは不明瞭では?傍証にはなるかもしれないけど断定はできないでしょ。

  7. この[ip]という項目がアップロードした人のIPアドレスかどうかは、システムを作った者でないと確実にそうだとは言えないと思います。蓋然性は高いと思いますが。
    こうして公表してしまったら対策(データ捏造、レスポンス内容変更)されてしまう可能性がありますが、例えば著作権的に問題の無いものをアップロードして、[ip]が自分のIPであることが確認できれば、裏付けを強めることはできると思います。対策される前にできないでしょうか。IPを晒すのはどうかと思うので、ネットカフェとかでやるしかないでしょうが…

  8. そんな根拠や証拠はわかりきったことで、海外野良サイトだから普通に手出しができない問題が解決しなければなんの寄与もしない。

  9. ページ主(ガイジ)「こいつら違法野郎だからこいつらのIP開示なりwwwwww」
    ページ主(ガイジ)「違法野郎はIP開示されて当然でしょwwww」

  10. 馬鹿なサーバー構築者のせいで元から公開されている情報なのに、不正アクセスとか書いてるアホは記事もまともに読んでないんだなw

  11. こいつはただ情報公開してるだけでサイトを潰すようなことは何もしてないんじゃないのか
    潰したいなら人任せにせずお前が更に踏み込まないと

  12. そんなことはみんな知ってるというか知れるレベル。どうせやっても意味ないことやるならもっと規模の大きいことをして下さい

  13. このデータに0chiakiさんが一切手を加えていないという証明が法的機関や著作権者に対して可能なのでしょうか?

    1. 対象が変わっただけなんだよなぁ…
      今のところ相手の初歩的ミスを突いてるだけだから不正アクセスにはなってないけど

  14. このdropbooks.tv/violent_fileに対するXmlHttpRequestのレスポンスは現在も確認できますか?もう対策されてしまいましたか?

  15. 情報が正しいか証明できるのかとか言ってるバカいて笑う
    なんの手がかりも得られないまま一切レスポンスのないDMCA侵害申立を投げ続けてる現状を打開するための大きな手がかりになるんだろ。それが正しいにせよ正しくないにせよプロバイダに開示請求してその個人から話を聞いて任意で所持電子機器を調べる事ぐらいはできるしね。正しくなかったらその人の疑いが晴れるだけ。
    別に任意で話を聴くのに責任を取る必要なんてないしね。

  16. どうせテンプレのまま使ってIP垂れ流し設定だったとかでしょ
    自分で組んどけばこんな初歩的ミスするわけない
    しかし装う為の通報機能で実態が明らかになるとか警察への通報機能だったんじゃないかとすら思えて笑える

  17. 脆弱性を利用して調べるのもいけないことでは?
    日本では私刑の禁止がなされているはずだったが・・・

  18. 今そのサイトにアクセスしようとするとノートンから
    2つのウィルスがあるということで遮断されます。
    脅威名
    Trojan.Pandex
    Trojan.Gen.NPE

  19. 最近運営がポンポン次々と変わっているんだが、本当に運営が変わっているならipアドレスも変わるから調べるのが大変になってそうだな

  20. 無職のニート(社会の○ミ)っぽい人に言われても何とも思わないし、この記事を作ったところで、、、、

  21. 素人だがこのままの形だとデータ改ざんしてない証拠がないから証拠としては弱いんじゃないかな…と思う。次の証拠探しも期待してます!

  22. >違法行為を行っていたのです。
    行為には行うという意味が含まれているのでは?
    応援しています。頑張ってください!

  23. 違法アップロードサイトの名前を挙げて記事を書くということは、事実上追求を建前に違法サイトの宣伝をしているだけです。
    故意か無思慮かは知りませんが呆れます。
    違法アップロードサイトの記事を書く人たちは通常みなサイト名やURL等宣伝になってしまうようなものは出さず気をつけて書いているものです。
    もし違法アップロードサイトを非難する気があるのならサイト名などは伏せてください。
    伏せないのであれば、ただのサイトの宣伝です。

コメントを残す

メールアドレスが公開されることはありません。