Google が自社のインフラ上でのドメイン フロンティングを終了した後、Amazon もそれに追随し、エジプト、イラン、オマーン、カタール、UAE などの国で Signal が検閲を回避できないようにブロックしました。
大手IT企業が検閲対策技術を廃止
数週間前、ロシア政府は、ロシア諜報機関に暗号鍵を提供しないとして、ISPに対しTelegramをブロックするよう命令を出しました。しかし、この命令は効果を発揮しませんでした。Telegramはドメイン・フロンティングを利用していたからです。ドメイン・フロンティングとは、通常であれば政府によってブロックされることのない、他の人気ドメインの背後に隠れる手法です。
ロシアは彼らのブラフを見破ったか、あるいは広範な検閲の影響を気にしなかったのか、Google、Amazon、Microsoftなどのクラウドサービスプロバイダーから1,800万以上のIPアドレスをブロックしました。これにより、モスクワやオンラインで数千人が抗議活動を行いました。しかし、Googleはロシア政府に考えを変える機会を与える前に、自社のインフラにおけるドメイン・フロンティング手法を迅速に停止しました。
Signalは、ドメインフロンティングを採用した最初のチャットアプリの一つでした。1年半以上前、エジプト、オマーン、カタール、UAEではサービスへの直接アクセスがブロックされました。しかし、これらの国ではGoogleのサービスがブロックされなかったため、ユーザーは引き続きSignalを利用することができました。
イラン政府は3年前、Signalへの直接アクセスも遮断しました。Googleのインフラを利用したドメイン・フロンティング技術は、米国政府によるイランへの制裁に関するGoogleの解釈により、イランでは利用できませんでした。Googleはイラン国内での自社サービスへのアクセスを全て遮断していたため、ドメイン・フロンティング技術を用いたSignalもイランでは利用できませんでした。
Googleの経営陣は今年初め、一部のサービスが特定の国での検閲を回避するためにGoogleのインフラを利用していることを認識しており、これを停止することを決定しました。Signalには30日前に通知が出されたため、開発者たちはAmazonに同様の対策を依頼しました。
Amazon はこれを知り、Signal の開発者にメールを送り、Signal が「ドメイン所有者の明示的な許可なく別の組織になりすましている」ことで利用規約に違反していると述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Signal の開発者は、Amazon の主張を両方とも否定しました。
当社の CloudFront ディストリビューションでは、当社独自のドメイン以外の SSL 証明書は使用していません。クライアントが CloudFront に接続する際に、トラフィックの送信元を偽造することはありません。
ネットワークの可視性の向上は検閲対策ツールに悪影響を与える
Signal の開発者は、暗号化されたトラフィックフローの最終的な宛先をネットワークレベルで可視化するという Google と Amazon の最近の動きによって、検閲対策ツールの選択肢が大幅に狭まったと不満を漏らした。
さらに、現時点では暗号化されたトラフィック内のホスト名を簡単に隠蔽する技術は存在しません。TLSハンドシェイクは、対象のホスト名を平文で完全に公開します。これは、最近最終決定された最新のTLS 1.3標準でも同様です。Signalの開発者は、これで検閲官が必要とする情報をすべて提供できると考えています。IETFはすでにインターネットの監視耐性の向上に取り組んでおり、将来的には検閲耐性の向上にも取り組む可能性があります。
Signalチームは、将来に向けて、より強力な検閲対策ツールの開発にも取り組んでいきます。ただし、小規模なチームであるため、開発には時間がかかる可能性があります。同チームは最近、WhatsAppの共同創設者であるブライアン・アクトン氏から多額の資金提供を受けており、現在採用活動も進めているため、開発は加速するはずです。
すべてを理解するまで、ユーザーは安全な VPN を介して、Signal、Telegram、その他の検閲対象アプリケーションを引き続き使用できる可能性があります。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
