難攻不落の巨大違法サイト「ドロップブックス」に攻め入る


「フリーブックス」の騒動以降、私はこのサイトを運営していたグループが他にも運営していると思われる違法サイトについて現在も継続的に調査を行っています。その中で最も悪名高いサイトが、海賊版の同人誌や成年コミックを掲載している「dropbooks(ドロップブックス)」です。

2014年の2月に現れたこのサイトは、かつては取り扱うコンテンツが成人向け漫画と一般漫画で分かれていました。

2014年2月のdropbooks
2014年2月頃のdropbooks (dropbooks.biz) [キャッシュ]

しかし、同年8月下旬になって一般漫画の取り扱いをやめ、アダルト専用のサイトへと変化したようです。

サイトの規模は非常に大きく、ウェブサイトのアクセス調査サービスを手がける「SimilarWeb(シミラーウェブ)」によると、ドロップブックスは日本で38番目にアクセスの多いサイトにランクインしており、ここ6ヶ月間の訪問者数は計4000万人にも達しています。

このサイトが悪名高いと言われている理由に、アップロードされたファイルへの削除要請を権利者によるものであっても受け付けないという点や、削除されたとしてもすぐにまた同じファイルがアップロードされてしまうなど、その執拗さから、運営者らが「ユーザー生成コンテンツ(UGC)」というプラットフォームを装い、自身でファイルをアップロードしているのではないかという疑惑が生じていることなどがあります。

そんな中、私がこのサイトを調査していたところ、ある通常の処理をサイトに行わせると、サイトのデータベースに含まれるデータが漏洩するバグが存在することを発見しました。そして、その情報にはファイルをアップロードした投稿者のIPアドレスも含まれており、なんとその多くが実際のユーザーのIPアドレスではなく、サイト運営者らの所有するIPアドレスであるということが判明しました。つまり、疑惑通りこのサイトの運営者らはファイルのアップロードをユーザーからのものと偽り、自作自演で自分のサイトを盛り上げていたのです。

ここでデータベースについて簡単に説明しますが、ドロップブックスに限らず大抵のサイトのシステムではデータベースが用いられています。このデータベースは行と列が入り組んだ構造になっており、連絡帳で例えると氏名、住所、電話番号などの項目が存在する行がいくつもある状態です。ウェブサイトの場合はこのデータベースを参照し、電話番号のみを表示するなどといった操作をプログラムで自由に設定します。

ところがドロップブックスのシステムでは、指定した行のデータすべてを誤って表示させていました。このデータには投稿者のIPアドレスやユーザーエージェント(ブラウザ情報)などの情報が含まれており、それらは本来であればサイトのプログラムで表示しないように設定されていたはずでした。

下の画像でその証明をします。

ドロップブックスの情報漏洩
ドロップブックスの情報漏洩

技術的な話をすると、画像に写っている dropbooks[.]tv/violent_file は投稿ファイルの通報時に XMLHTTPRequest のリクエスト先のURLで、このレスポンスデータはブラウザ上では表示されないので気づきにくいですが、デバッグ用だったのでしょうか、POSTした file_id のデータがまるごとダンプされていました(これはSQLインジェクションなどの攻撃とはまた違い、正常なリクエストを送信した結果としてこのように表示されています)。

私はこのバグが存在するうちに、サイトにアップロードされたファイルの投稿者の情報を入手することを考えました。しかしここにアップロードされたファイルの総数は40万件以上にも及び、それら全てを調べるわけにはいかないため、条件指定をして絞り込むことにしました。ここでは例として、キーワードを「艦隊これくしょん」、ダウンロード数の多さで並び替え、過去3ヶ月にアップロードされたものに期間を指定して検索しました。

「艦隊これくしょん」の検索結果
「艦隊これくしょん」の検索結果

これらの上位10位のファイルIDをもとに、投稿者情報を収集した結果が以下になります。

[紅茶屋]COMING EVENT 総集編 (艦隊これくしょん -艦これ-)
ID: PEmTTEzCSW
ブラウザ: Internet Explorer 11 in Windows 10
IP: 114.148.230.82 (p6202-ipngn100303tokaisakaetozai.aichi.ocn.ne.jp)

[たぬきんぐすりーぷ]ぷりーず・ふぁっく・みー (艦隊これくしょん -艦これ-)
ID: tu1wtl6nff
IP: 217.182.137.220

[おふとんでスヤァ]Sweet Memory (艦隊これくしょん -艦これ-)
ID: Jeu0j5ChUz
IP: 217.182.137.220

[RAID SLASH (八尋)] 暗夜の補給線 (艦隊これくしょん -艦これ-)
ID: 9mf8H0dSKB
ブラウザ: Google Chrome 58 in Windows 10
IP: 183.77.128.56 (y039131.ppp.asahi-net.or.jp)

[In The Sky]yes. Sara is here... (艦隊これくしょん -艦これ-)
ID: yMbDUaZu3X
IP: 217.182.137.220

[魚ウサ王国]こすこす龍驤 (艦隊これくしょん -艦これ-)
ID: yuctOo2C4e
IP: 217.182.137.220

[ねこのこね]川内とHな私生活 (艦隊これくしょん -艦これ-)
ID: QJ9lNuKdLY
IP: 217.182.137.220

[小判堂]鹿島と夜の練習姦 (艦隊これくしょん -艦これ-)
ID: Q43zuBtocG
IP: 217.182.137.220

[木綿シリコン]洲ぐらし (艦隊これくしょん -艦これ-)
ID: d8JjkhB7xm
IP: 217.182.137.220

[かじむらマーケット]ですこん!!14 (艦隊これくしょん -艦これ-)
ID: 8ScdYvJ85r
IP: (なし)

上位10位のうち1つはIPアドレスが記録されておらず、ほかの7つは 217.182.137.220 による投稿で、驚くべきことにこれはドロップブックスの運営者が所有しているサーバーのIPアドレスでした。つまり、ドロップブックス自身がファイルをアップロードしていることになります。ドロップブックスはファイル投稿型サイトなどではなかったのです。

master.dropbooks.tv (217.182.137.220, フランス)

master.dropbooks.tv
http://website.informer.com/master.dropbooks.tv [キャッシュ]

他の2つについては、実際のユーザーがアップロードしたファイルのようです。これらのIPアドレスを照会した結果が以下になります。

https://www.nic.ad.jp/ja/whois/ja-gateway.html

114.148.230.82

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     114.148.128.0/17
b. [ネットワーク名]             OCN
f. [組織名]                     オープンコンピュータネットワーク
g. [Organization]               Open Computer Network
183.77.128.56

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     183.76.0.0/15
b. [ネットワーク名]             ASAHI-NET
f. [組織名]                     朝日ネット
g. [Organization]               Asahi Net

同様に、私はさらに運営者らに気づかれるまでに35000件以上もの投稿者の情報を取得することに成功しました。以下のURLでそれらのファイルを配布します。

キーワード未指定、期間未指定、並び替えをDL数で上位35000位(zip形式、29.9MB)

https://transfer.sh/O2BJ2/top30000.zip

キーワード未指定、期間を1週間、並び替えをDL数で上位5000位

https://transfer.sh/X5SGh/top5000.zip

これらの情報が法的な証拠になるかどうかについては、私は法の専門家でないため判断はできかねますが、取得したデータに記録されているIPアドレスなどの情報は本物と見て間違いないと考えています。うその情報を記録するようなシステムであれば、正直に自分らのもつサーバーのIPアドレスを記録するはずがないでしょう。

ドロップブックスだけでなく、系列サイトのフリーブックスもその執拗なファイルの掲載から、アップロードは運営者によるものではないかと疑われていましたが、それらは推測の域を出ませんでした。ところが今回の私の調査によって、それらの疑惑は本当であるということが証明されました。運営者らは自らが制作したユーザー参加型サイトというプラットフォームを隠れみのに、自分らでファイルをアップロードするという自作自演の違法行為を行っていたのです。

この組織が運営するサイトや、系列サイトについては引き続き調べを進めています。

この記事について何かありましたら、私のTwitter、もしくはホームページにある連絡先や、このブログのコメント欄(コメントは承認制です)にお願いします。

更新

  • (2017年12月)この記事の影響かどうかは不明ですが、9月24日ごろ、ドロップブックスはサイト名を「ダウンロードブックス(ドメイン: dlbooks.to)」に名前を変え、運営も変わったとサイト上で述べていますが、しかし、私が調べたかぎりでは運営者側に変化はありません。
  • (2018年7月)さらにダウンロードブックスからX BOOKS(エックスブックス)にサイトが変わっています。
  • (2019年4月)4月2日午後からサイトに接続できない状態が続いており、6日以降は別のアダルトサイトに転送されるようになりました。サイトは完全に閉鎖したものと見ています。
投稿をシェア

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です