中国のインターネット検閲を回避する方法を発見──ケンブリッジ大研究グループ
同大学の研究者グループが発表した『中国のグレート・ファイアウォールを無視する』と題した論文では、中国政府の幹部が公的な場で滅多に話題にしない複雑なフィルタリング・システムのメカニズムについて洞察している。論文作成に携わったのは、ケンブリッジ大学コンピュータ研究所のリチャード・クレイトン氏、スティーブン・マードック氏、ロバート・ワトソン氏。
中国政府は、インターネットでやり取りされるパケットの中から特定のキーワードを探し出すことで、コンテンツをふるい分けており、例えば、「Falun」(中国国内での活動が禁じられている気功集団の法輪功)という単語を含むWebページに接続しようとしても、ブロックされてしまう。
論文によると、中国はルータと侵入検知システム(IDS)を使ってコンテンツのふるい分けを行っているという。禁止されたキーワードが検知されると、ルータがクライアント側のコンピュータとWebサーバの両方にRST(接続リセット)パケットを送信して接続を遮断し、該当するサイトへの接続を阻止する。
RSTは、6種類あるフラグ(制御ビット)の1つであり、TCPを使ったパケット送信の目的を定義するために使用される。これにより、コンピュータがRSTパケットを受信するとアクセスが遮断される。いったんアクセスが遮断されると、ルータは、RSTパケットが使用されている間、2つのコンピュータ同士のあらゆる接続をブロックし続ける。研究者によると、RSTの使用時間は、数分から1時間近くまで幅があり、平均時間はおよそ20分だという。
今回発表された論文の内容は、フィルタリング・システムのメカニズムに精通する専門家にとっては目新しいものではない。北京在住の情報技術専門家であるマイケル・ロビンソン氏は、「今回発表された論文の内容は、いずれも2年前からわかっていたことばかりだ」と述べている。
ロビンソン氏は、この論文の影響力に疑問を呈している。「ここに書かれている接続リセット・システムは、きわめて大規模な多層コンテンツ管理システムの1つのレイヤにすぎない。これらすべてのシステムを回避するには、暗号化されたプロキシ・サーバを使うしかない」と同氏。
ケンブリッジ大学の研究者らは、論文の中で、専用のソフトウェアを使うか、ファイアウォールを修正してRSTパケットを無視することによって中国の検閲システムを迂回するという方法を提案している。しかし、ロビンソン氏は、「この方法がプロキシ・サーバを使う手法(中国在住の多くのインターネット・ユーザーが政府の管理を避けるために用いている手法)よりも優れているかどうかは疑問だ」と語る。
ロビンソン氏は加えて、「プロキシ接続は、論文に書かれている部分的なソリューションとは異なり、完璧なソリューションを提供する。中国のインターネット・ユーザーが接続リセットの問題を解決しようとする場合、どの手法を使ったとしても、プロキシ接続をセットアップするのと同じくらいの手間がかかる」と指摘している。
だが、ケンブリッジ大学のクレイトン氏は、上記のロビンソン氏の意見に反論している。パケットを暗号化しても、通常はプロキシとの接続まで暗号化することはできないため、ファイアウォールを通過する時点でトラフィックの内容が見えてしまい、結局は検閲の対象になるというのが同氏の主張だ。
また、クレイトン氏は、あるインタビューの中で、中国政府当局は暗号ソフトウェアを使用する人々を好意に思っていないと指摘している。同氏は、マイクロソフトなどのOSベンダーやゾーン・アラームなどのセキュリティ・ソフトウェア・メーカーが、独自のTCP/IPスタックを開発し、中国の接続リセット・システムを追加セキュリティ・レイヤとして自社製品から切り離すことを理想としている。「この方式が標準になれば、中国当局も対応が困難になるだろう」(クレイトン氏)
クレイトン氏は以前、マイクロソフトに対して、上記のようなメカニズムを自社のソフトウェアに組み込む計画があるかどうかを尋ねたことがあった。しかしマイクロソフトは広報部門を通じて、正式にはコメントできないとしたうえで、このスキーマを機能させるには、Webサイト運営者側でもサーバ上で同じメカニズムをサポートしなければならず、この手法をインプリメントする際の新たなハードルになると指摘したという。
論文は、ケンブリッジ大学のWebサイトにPDF形式で掲載されている。
(サムナー・レモン、ナンシー・ゴーリング/IDG News Service 台北支局)
英ケンブリッジ大学
http://www.cl.cam.ac.uk/
提供:Computerworld.jp
