DNSブロッキングは筋が悪いのか?
日本で行われている児童ポルノブロッキングで採用されているのは、DNSキャッシュサーバがブロックリストに掲載されたFQDNの名前解決を行わないという、DNSキャッシュポイズニングという手法です。 この手法は、主にISPが提供するDNSキャッシュサーバにて行われているので、児童ポルノブロッキングを行っていないDNSキャッシュサーバを利用することで回避が可能です。 また、IPアドレスを直接指定して通信を行うことで回避することも可能です。
このような手法が採用されていることに関して、「アホじゃないの?」とか「ザルじゃないの?」という感想が述べられがちです。 昨日、以下のような記事が出ていましたが、それに対しても「仕組みを考えた奴はバカだろう」的なニュアンスの感想が散見されます。
私の感想
「IPアドレス直打ちですり抜け可能」という話は、日本でDNSブロッキングが大きな議題となった2010年時点から何度も言われ続けています。 私も、最初に話を聞いたときには「何でそんな無意味な方法にするのだろうか?」と思いました。
2010年時点で、警察庁もそれでは不十分ではないかという意見を述べています。
しかし、この手法はネット検閲が進まないようにしつつ、現時点における技術と法律の間でバランスを保とうとした結果なのではないかという感想を持ってます。 一見、頭が悪くて技術がわかってない人が穴だらけの対策をしてしまったようにも見えますが、実はそこまで単純な構図ではありません。
なぜ私がそのように考えるかに関して、ここで語ろうと思います。 なお、ここでは、児童ポルノブロッキングを行うことそのものに関する議論は、あえて範疇外とします(かといって、DNSブロッキングを肯定するために文章を書いているわけではないので。念のため。)。 あくまで、何らかのブロッキングを行わなければならない状況になってしまった場合に、技術的視点で落としどころとしての現状があるのだろうという視点です。
IPアドレスブロッキングの問題点
読売新聞の記事で書かれているのがIPアドレスに関してなので、まず最初にIPアドレスをベースにしたブロッキングを考えます。
仕組みとしては、IPアドレスを利用したブロッキングが最も簡単ですが、単純にIPアドレスだけでブロッキングを行ってしまうと、激しくオーバーブロッキングをしてしまう場合があります。 これは、バーチャルホストなどの機能を利用して一つのIPアドレスで複数サーバを利用することが一般的に行われているためです。
たとえば、2011年8月に、アルゼンチンの裁判所が「leakymails.com」と「leakymails.blogspot.com」をブロックすることをISPに命じたところ、ISPが「216.239.32.2」というIPv4アドレスでのブロッキングを実施したため、Google Bloggerの100万ブログが同国内で見られなくなってしまいました(参考:Google運営の100万ブログがブロックされる@アルゼンチン)。
このように、たった一つのIPv4アドレスが大量のサイトを運営するために使われることもあります。 2011年2月には、IANAのIPv4アドレス中央在庫が枯渇してますし、今後は単一のIPv4アドレスが含むWebサイト数が今よりも増加する可能性も高いです。 そうなると、IPv4アドレスを利用したブロッキングによるオーバーブロッキングが発生しやすくなります。
検索エンジンへの登録等を考えると、ドメイン名(FQDN)を含むURLがパーマネントな識別子であることが多い一方、IPアドレスは短い時間で変化する可能性がある点も、IPアドレスベースのブロッキングを行ううえで面倒な要素です。 たとえば、負荷分散のために数分おきに特定のドメイン名を示すIPアドレスが変化することもあります。
一つのコンテンツを示すURLのために、複数のIPアドレスを登録する必要もあります。
このような問題点があるため、IPアドレスベースでのブロッキングは、DNSブロッキングよりも筋が悪い場合が多いと思われます。
DPIによるブロッキング
DNSブロッキングの「抜け道」を塞ぐためにIPアドレスを利用したブロッキングを行うことが出来ないと考えた場合、他に使える技術があるとすればDPI(Deep Packet Inspection)です。 DPIは、中継路でパケットを監視し、各ユーザがいつどこで何を見ているのかを詳細に把握する技術ですが、それを活用して不適切なコンテンツをブロックすることが可能となります。
IPアドレスは複数のドメイン名をブロックしてしまう可能性があり、DNSブロッキングは特定のドメイン名(もしくはFQDN)で運営されているサイト内の全ページをブロックしてしまう可能性があります。 DPIは個別のURL単位でブロッキングを行えるので、ブロッキングの精度が高まり、オーバーブロッキングが非常に少なくなります。
ただ、DPIが日本全国のインターネットで導入されるということは、ネット検閲が非常に行いやすくなる環境が整うことも同時に意味します。 児童ポルノブロッキングをするために、日本国内の非常に多くのユーザがいつどこで何を閲覧しているのかを詳細に把握できてしまう環境が整うためです。
アクセスログを保存するのかしないのかとか、イギリスのCleanFeedのようにさらに詳細に調べるセッションだけDPIを行うという手法があったりもしますが、ユーザ側から見ると何が監視されていて何が監視されていないのかは把握できません。
最後に
このように、DNSブロッキングというのは、IPアドレスブロッキングよりもオーバーブロッキングが少なく、DPIよりもネット検閲度合いが少ないという手法です。 DNSブロッキングが良いものだとは思いませんが、現時点の日本における落としどころとしては致し方ない部分もあるような気がしています。
「DNSブロッキングなんてザルだし、そんなカスな方法じゃなくて、もうちょっと真面目にやれ」という意見は、DPIを推進する意見になりかねないと思いますし、イギリスでの議論でもわかるように、児童ポルノブロッキングのために推進されたDPIが著作権侵害関連に利用されるようになるには時間がかからないんだろうなぁと思う今日この頃です。
違法ダウンロード罰則化の法案が成立しましたし。
関連
DNSブロッキング関連の取材に関してはINTERNET Watchさんが凄いです。
- 児童ポルノのブロッキング、当初はDVD販売サイトのみが対象か
- 児童ポルノのブロッキングと「DNS RPZ」/悩ましい「DNS運用の現実」
- ブロッキングの基準固まる、児童ポルノ流通目的・発信者が同一のドメインのみ - ただし悪質な画像あれば1枚だけでもドメインごと遮断
- “児童ポルノ=ブロッキング対象”ではない? 閲覧可能なままの画像も
- 児童ポルノのブロッキングが奏功? 裏DVD通販の大手グループが軒並みサイト廃業か
以下、私が書いた過去記事です。
最近のエントリ
- Interop 2023のShowNetバックボーン詳解
- Interop Tokyo 2023 ShowNet取材動画
- 「ピアリング戦記 - 日本のインターネットを繋ぐ技術者たち」を書きました!
- 1.02Tbpsの対外線!400GbE相互接続も - Interop ShowNet 2022
- Alaxala AX-3D-ViewerとAX-Sensor - Interop 2022
- SRv6を活用し、リンクローカルIPv6アドレスだけでバックボーンのルーティング - Interop ShowNet 2022
過去記事
