海の向こうの“セキュリティ”

第46回:中国のグレートファイアウォールを乗り越える「西廂計劃」 ほか


 6月は、iPadの顧客情報流出という大きなインシデントがありましたが、今回もちょっと「ニッチ」な中国と韓国の話題をいくつか紹介します。

中国のグレートファイアウォールを乗り越える「西廂計劃」

 中国国内のインターネットユーザーを「有害情報」から守る目的で中国政府が設置した(とされる)「防火長城(The Great Firewall of China、以下GFW)」の話題です。

 GFWの技術的な仕様は当然ながら公開されていませんが、中国国内外の研究者らによる調査・分析によれば、単純なアクセス制限(特定IPアドレスへのアクセス遮断)の他に、以下のような仕組みがあるようです。

1)フィルタリング対象のホスト名解決に対しては偽のDNS情報を返す。

2)TCP接続においてフィルタリング対象となる内容を含む通信が行なわれた場合には、クライアントとサーバーにRST(Reset)パケットを送り付ける。

 このうち、2)に関しては、サーバー/クライアントともにGFWからのRSTパケットを無視すれば、理論上、TCP接続が切断されることなく継続できることが、以前から指摘されていますが、もちろん、これは現実的な方法ではありません。

 一方、これまでも中国国内からGFWを越えて国外のさまざまな情報に自由にアクセスしようという試みは数多くありました。例えば、プロキシーやVPN、SSHトンネリングなどを使い、国外にある「踏み台」を経由するというものです。しかし、これらの手法の場合、GFWにおいて「踏み台」へのアクセスを遮断されてしまえばおしまいです。また、そもそもこれらの技術はGFWを越えるための技術ではなく、既存の技術を流用しているに過ぎません。

 そのような中、今年3月、中国の研究者らがGFWの仕様上の弱点を使ってGFWを越える技術とそれを用いた専用ツールを開発したことが、中国国外のメディアで報道されました。「踏み台」を用いず、あたかもGFWが全く存在しないかのように直接アクセスできるようにするというものです。

 これは「西廂計劃(Xi Xiangプロジェクト)」と呼ばれるプロジェクトで、そのプロジェクト名は中国人なら誰でも知っているという有名なラブストーリーの古典「西廂記」から来ています。

 「西廂記」は、唐の詩人・元シン(Yuan Zhen、シンは禾に眞)による短編小説「鶯鶯伝」を起源とし、その後いくつかのアレンジがあったものを、元の劇作家・王實甫(Wang Shifu)によって戯曲に書き改められたものが現在、広く知られているそうです。

 ストーリーは、科挙合格を目指している青年・張君瑞(張生:Zhang Sheng)が良家の娘・崔鶯鶯(Cui Yingying)と恋仲になり、家柄の違いなどのさまざまな障害を乗り越えて結ばれるという内容。その中で「壁を乗り越えて」張生が鶯鶯に逢いに行こうとする有名なエピソードがあり、そこからプロジェクトの名前として使われたようです。

 「西廂計劃」の手法自体は比較的シンプルです。簡単に説明すると、まず3ウェイハンドシェイクの途中で意図的にダミーのパケットを送ることで、GFWに対して当該TCP接続が確立せずに終了したと認識させます。GFWは一度接続が未完で終わった(と判断した)接続に対しては、その後どのようなパケットも素通ししてしまう仕様(恐らくパフォーマンスを確保するため)らしく、これにより実質的にGFWがないかのように通信が行なわれるようになるのです。ただし、これは手法から明らかなように、先ほど紹介したGFWの仕組みのうち、2)を回避できるものであり、特定IPアドレスへのアクセス制限を回避できるものではありません。

 なお、「西廂計劃」の手法を実現するツールは当初、Linuxのnetfilterを前提に開発されていましたが、その後、Windows用のツールも開発され、ソースはGPLv2で配布されています。

 「西廂計劃」が発表され3カ月以上が経過していることから、すでにGFW側で何らかの対応がなされている可能性もありますが、「西廂計劃」のようにGFWの動作から仕様を調べ上げ、そこから弱点を見出そうという活動は今後も活発に行なわれ続けるのではないかと思います。

自由亞洲電台普通話(2010年3月11日付記事)
http://www.rfa.org/mandarin/yataibaodao/xixiang-03112010095532.html
西廂計劃ホームページ
http://code.google.com/p/scholarzhang/
西廂記(Wikipedia)
http://en.wikipedia.org/wiki/Romance_of_the_West_Chamber

韓国ネットバンキングにおけるクライアント証明書使用義務規制緩和

 以前の記事でも紹介しましたが、韓国ではインターネットバンキングを利用する際に公認認証書(クライアント証明書)を使うことが義務付けられています。しかし、この証明書がActiveXを前提にしているため、事実上、韓国におけるインターネットバンキングの利用にはWindowsの使用が義務付けられていることになります。

 日本(に限らないとは思いますが)では考えられない規制ですが、韓国におけるパソコンは「イコールWindows」であるため、これまではさほど大きな問題として取り上げられることがありませんでした。しかし、韓国でもiPhoneをはじめとするスマートフォンが急激に普及し始めたことから、ようやく問題として顕在化したのです。

 そのような中、3月には韓国政府とハンナラ党が合意した「電子金融取引時公認認証書義務使用規制緩和法案」を受け、放送通信委員会は5月31日、今年の下半期から30万ウォン(約2万3000円)未満の少額決済であれば、公認認証書以外の認証方法を使用可とする「認証方法に対する安全性ガイドライン」を発表しました。

 その中で、公認認証書に代わる認証方法に求められる技術的安全性要件として、利用者確認、サーバー認証、通信チャネルの暗号化、取引内訳の偽造・変造防止などが挙げられ、金融機関や電子金融業者は、認証方法評価委員会の安全性評価を経なければならないとされています。また、金融監督院が指定した公認機関で技術検証を受けた場合、認証委員会評価を省略することができるともしています。

 そもそもActiveXという特定ベンダーの技術のみに限定した規制自体もダメダメですが、それを今になって「慌てて」規制緩和するというのも「トホホ」な話です。

 これは「イケイケ」過ぎて失敗してしまった典型例ですが、同時に「まずやってみてダメだったらその時考える」という韓国らしい例とも言えます。

ZDNet Korea(2010年5月31日付記事)
http://www.zdnet.co.kr/Contents/2010/05/31/zdnet20100531140821.htm

関連記事
 ・第41回:クライアント証明書をハードディスクに保存してはダメ? ほか
  http://internet.watch.impress.co.jp/docs/column/security/20100204_346756.html

青少年へのオンラインゲーム規制、韓国で「シャットダウン制」案

 数年前、韓国でオンラインゲームの「やりすぎ」が原因で若者が死亡する事件があったことを記憶している方も多いと思います。この事件をきっかけに、その後、韓国では青少年のゲーム利用を規制すべきとの声も上がったのですが、韓国における重要産業ともなっているゲームに対する規制はなかなか進みませんでした。

 今年4月、ゲーム産業を管轄している文化体育観光部と、家族・青少年業務を担当している女性家族部が、それぞれ独自に規制に関する法案を提出し、激しく対立しました。これは、文化体育観光部が「ゲーム産業振興法改正案」として提出したのに対し、女性家族部が「青少年保護法改正案」として提出、しかも互いに内容が似通っており、重複規制になるというものでした。

 対立の原因は、文化体育観光部と女性家族部の立場の違いとも言えます。ゲーム産業を振興する立場にある文化体育観光部としては、すでにある「ゲーム産業振興法」のわずかな改正と業界の自主規制で十分対応可能であるとしています。一方、青少年の保護を目的としている女性家族部は、自主規制では不十分であり、法的強制力を持った強い規制が必要であるとしています。

 ところが実際には両案とも、青少年(19歳未満の者)による深夜時間帯のオンラインゲームの利用を禁止する「シャットダウン制」など、主たる内容は似ており、違いは自主規制か法規制かの違いだけと言っても過言ではありません。

 そのような中、国務総理室が仲裁する形で折衷案が提示されました。それは「シャットダウン制」の法規制対象を 14歳未満に限定するという案です。また、女性家族部の案では例外を認めていませんが、この案では両親の同意があれば適用対象から除外できるとの「例外条項」も盛り込まれています。

 業界側はこの折衷案に対して「いくら例外条項があっても自主規制よりは望ましくない」としています。一方、女性家族部は例外条項が盛り込まれたことに反発しており、このまま成立するかは不透明です。

 法規制に関する主導権を巡り省庁間に対立が生まれるのはいずこも同じだなぁという冷めた気持ちになりつつも、どのような展開を見せるか興味深く見守りたいと思います。

etnews.co.kr(2010年6月4日付記事)
http://www.etnews.co.kr/news/detail.html?id=201006030270&mc=m_012_00001

韓国で携帯電話へのGPS搭載義務化

 韓国放送通信委員会が6月10日に行なわれた全体会議で議決した「産業育成および社会安全網高度化のための位置情報利用活性化計画」により、携帯電話にGPS機能を搭載されることが義務化されることになったそうです。

 簡単に言ってしまえば、GPSによる位置情報サービスは新しいビジネスとして雇用の促進や税収の増大が期待できる上、警察が利用すれば治安維持にも繋がるので、国として規制を緩和しますから、国民の皆さん、位置情報をバンバン利用しましょうということ。

 もちろん、GPS機能のオン/オフは利用者個人で管理できるようにするそうですが、相変わらずの「イケイケ韓国」には今回も驚かされました(苦笑)。

ZDNet Korea(2010年6月10日付記事)
http://www.zdnet.co.kr/Contents/2010/06/10/zdnet20100610145911.htm

2010/7/9 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。