海賊版Hentaiサイトについての調査

June 19, 2022

知人が書いたhentai本が発売から数秒でhitomi.laに上がったらしい。

絶対アウトだろうと思われる、グローバルなグレー(ブラック)サイトhitomi.laがどうして摘発できないのか気になり、
限りなくホワイトな方法で彼らの素性を探ろうと考えた。以下はそのチラ裏である。

tracerouteしてみた

traceroute to hitomi.la (88.80.31.197), 30 hops max, 60 byte packets
 1  ***** (X.X.X.X)  0.207 ms  0.199 ms  0.196 ms
... 
 14  portlane-ic316381-adm-b2.ip.twelve99-cust.net (62.115.145.27)  258.388 ms adm-b2-link.ip.twelve99.net (80.91.253.163)  257.949 ms adm-b2-link.ip.twelve99.net (62.115.141.67)  267.627 ms
 15  portlane-ic316381-adm-b2.ip.twelve99-cust.net (62.115.145.27)  259.663 ms be-4.cr1.mal4.se.portlane.net (80.67.4.239)  264.874 ms portlane-ic316381-adm-b2.ip.twelve99-cust.net (62.115.145.27)  263.951 ms
 16  be-5.cr2.sto1.se.portlane.net (80.67.4.246)  273.925 ms be-4.cr1.mal4.se.portlane.net (80.67.4.239)  271.452 ms be-5.cr2.sto1.se.portlane.net (80.67.4.246)  272.436 ms
 17  be-5.cr2.sto1.se.portlane.net (80.67.4.246)  283.646 ms be-1.pe4.sto1.se.portlane.net (80.67.4.131)  269.649 ms  270.226 ms
 18  193.104.214.6 (193.104.214.6)  264.942 ms  271.296 ms  269.806 ms
 19  193.104.214.6 (193.104.214.6)  274.309 ms  273.373 ms 193.104.214.21 (193.104.214.21)  278.153 ms
 20  193.104.214.21 (193.104.214.21)  281.746 ms  281.532 ms  284.140 ms
 21  host-88-80-31-197.cust.prq.se (88.80.31.197)  278.488 ms  279.014 ms  264.890 ms
  • スウェーデンのホスティングプロバイダPRQによりホストされている様子
    • 「スウェーデンで合法なコンテンツであればホストする」という規約を持つ大変珍しいホスティングプロバイダ
      • 児童ポルノ、テロ等に関する文書の公開は認められない(hentai本の登場人物は皆18歳以上だから認められるね)
    • 支払い方法にBTCが指定できる
    • サーバの公開にあたって身元確認を必要としない
      • スウェーデンは厳密なデータ保護法を持つ国家として有名
    • DDoS保護を謳う
  • CDNを介していない模様

CDNを介さず公開しているのはPRQの匿名保護性(PRQを信頼した場合、加えて耐DDoS性)を信頼しているためか。
上述の通り、PRQでは身元確認不要でサーバを公開することができる

サブドメインからの考察

  • streaming.hitomi.la
  • ab.hitomi.la
  • aa.hitomi.la
  • btn.hitomi.la
  • atn.hitomi.la
  • dev.hitomi.la
  • hf1.hitomi.la
    • 以下略

サブドメインをいくつか調べたところ、上記のPRQ以外でホストされているものを発見。
nslookupでIPアドレスを引いたところ、23.237.54.194が返った。
いずれも稼働しておらず、Nginxの404エラーが返る様子。

やはりtracerouteを行う。

traceroute to 23.237.54.194 (23.237.54.194), 30 hops max, 60 byte packets
 1  ***** (X.X.X.X)  0.272 ms  0.253 ms  0.247 ms
...
 8  ae-40.r02.snjsca04.us.bb.gin.ntt.net (129.250.3.121)  115.034 ms ae-1.r00.lsanca07.us.bb.gin.ntt.net (129.250.3.17)  108.245 ms  113.704 ms
 9  * * *
10  be3271.ccr41.lax01.atlas.cogentco.com (154.54.42.101)  107.896 ms  109.207 ms be3144.ccr22.sjc01.atlas.cogentco.com (154.54.5.101)  115.154 ms
11  be3176.ccr41.lax01.atlas.cogentco.com (154.54.31.189)  118.686 ms be3070.rcr21.b014796-1.lax01.atlas.cogentco.com (154.54.25.70)  111.613 ms be3176.ccr41.lax01.atlas.cogentco.com (154.54.31.189)  117.701 ms
12  be3070.rcr21.b014796-1.lax01.atlas.cogentco.com (154.54.25.70)  113.276 ms be2335.rcr22.b014796-1.lax01.atlas.cogentco.com (154.54.86.38)  115.847 ms be3070.rcr21.b014796-1.lax01.atlas.cogentco.com (154.54.25.70)  113.824 ms
13  * * *
14  hf1.hitomi.la (23.237.54.194)  108.129 ms  111.491 ms *
  • イギリスのウェブホスティングプロバイダCentralNic
    • PRQとは異なり、身元確認不要等の匿名性に関する記述等は見受けられない
      • まぁ、GDPRに則っているため欧州外のプロバイダよりは保護されているんだろうけど

上で記したdev.hitomi.laドメインから察するに、開発環境・テスト機か、もしくはステージング機か。
しかしいずれのドメインでもウェイバックマシン上にアーカイブはなく、ステージング機の可能性は薄い。
開発機であるとしても、仮に海賊版hentaiサイトを公開するにあたってわざわざVPSに開発環境を構築するものだろうか。
ドメインが使用されていたIPアドレスの履歴にも、当該IPアドレスは見当たらない。

history

同IPアドレスは、hitomi.laのSPFレコード内にも記述がある。

v=spf1 ip4:23.237.54.194 ip4:23.237.107.210 -all

気になって調べたところ(詳細は伏す)、23.237.54.194ではNginx以外にも下記のサービスが稼働していた。

  • PostgreSQL 5432ポート
  • PowerDNS 53ポート

……メールサーバは稼働していない。
……なぜDNSを?
推測だが、Postgresはhentaiデータの本体を格納してhitomi.laから参照されているものか。

PowerDNS Authoritative Server 4.3.2 (built Mar  8 2021 08:55:57 by ***@***)
Resolver ID: hf1

疑問は深まるばかりだが、
CentralNicが健全なホスティングプロバイダだったとしても、ポルノ画像等を公開しているわけでもないためしょっ引くこともできないだろう。

結論

バックボーンであるホスティングプロバイダが、世界的にグレーな企業であるため、運営元の特定は非常に困難である。
もし摘発される可能性があるとすれば、著しく児ポ的なコンテンツが通報された場合に限られるか。

もし児ポコンテンツを見つけたらみんなでPRQに通報しような。


Profile picture

音声を編集していたり、アプリケーションを作ったり、趣味でダークウェブの動向を調査したり。 赤宮むむ