Google App Engineで検閲回避に使われてきた機能、停止される 9
ストーリー by hylom
最大手の逃げ道が 部門より
最大手の逃げ道が 部門より
taraiok 曰く、
アプリケーションホスティング環境を提供するGoogleのクラウドサービス「Google App Engine」は、検閲対策のためのプロキシ的な使われ方もしていたのだが、Googleがそのための機能を廃止したようだ(The Verge、Torプロジェクトに投稿されたTicket、Ars Technica、Slashdot)。
この手法は「Domain Fronting」と呼ばれており、検閲されたサイトに対しGoogle App Engine経由で通信を行うことで検閲を回避するというもの。4月13日、Tor開発者らがGoogleのネットワークアーキテクチャが変更されたことを発見しこの問題が明らかになった。これにより中国のインターネット検閲に反対するGreatFire.orgやSignal、Psiphonといった反検閲ツールの運用に影響が出るとみられている。
Google側はDomain Frontingはもともとサポートされていた機能ではなく、今回の変更は長期のネットワーク計画の一環であるとしている。また、今後公式の機能として提供する予定はないとも回答している。
泡沫ドメイン (スコア:1)
ウェブの全トラフィックを調査すると、71%は24時間以内に消えるドメインとの通信って話があって、この泡沫ドメインの多くはGoogle、Amazon、Yahooなどの大手が生成・消滅させたもので、マルウェアやフィッシングが生み出す莫大な量のドメインと比べても桁違いらしい。
http://ascii.jp/elem/000/000/943/943586/ [ascii.jp]
便利なのはわかるけど、一定の歯止めは必要なんじゃないかと思う。逃げ得というか、信義則の面では問題だよね。
Re:泡沫ドメイン (スコア:2)
それ「消えるドメイン」って言ってますけど、消えるサブドメインですよね? 何も外部不経済は発生していないようですけど、何に歯止めが必要なんです?
検閲回避にも使われたが、犯罪にも悪用されたので仕方が無い (スコア:0)
検閲回避にも役立っていて、それは非常に良いことだった。
しかし、同時にスパイウエアやランサムウエアなどの通信隠蔽にも使われてしまっていたので、営利企業としては機能停止は仕方が無い。
Googleは、基本的に中国を含め、各国の検閲に反対する立場を取っている。しかし、現地の法律にあからさまに違反するようなサービスを公式で提供するのも難しいだろう。
現地で商売できなくなるのは当然として、下手すりゃ関係者が現地にいっただけで逮捕されるというような事態になりかねない。
これでGoogleを攻めるのは酷だ。
Re: (スコア:0)
喫茶店の無料Wi-Fiを使った犯罪はMACアドレスや監視カメラの映像から犯人を割り出せるけど、
Domain Frontingも同じように悪用されること前提で、警察や裁判所から請求があれば開示するという方針ではいけないのかなぁ。
悪用された場合だけ対応してれば停止する必要性もないと思うけど。
Re:検閲回避にも使われたが、犯罪にも悪用されたので仕方が無い (スコア:2)
なんでそんなコストかかることをやらないといかんのよ。
機能停止した方がコストかからない。
Re:検閲回避にも使われたが、犯罪にも悪用されたので仕方が無い (スコア:2, 興味深い)
日本を含めた西側諸国はそれで十分だと思いますが、中国や中東の国などは、そもそも検閲を回避することそのものが違法なので駄目ですね。
このDomain Frontingって、要は、Google App Engineなど様々なサービスに使われている巨大サービスの中に、検閲回避用のある種のプロキシサーバ(実際にはTorとか)を紛れ込ませる、と言う話みたいです。
こうすると
・巨大サービスは常に大量の通信があり、どれが検閲回避のための通信が特定されにくい
・ブロックすると動作しなくなるサービスなどが大量に出て影響大きいため、ブロックをしにくい
と言うことになってました。
ところが、最近、サービスを人質にとって「技術的に個別対応はできません」「どうせ影響でかすぎてブロックなんかできないでしょ?」って言うのが通じなくなってるのを感じ取ってるのだと思う。
確証はないけど、こうなった理由は先日のロシアの件があったんじゃないかと思う。
https://japan.cnet.com/article/35117939/ [cnet.com]
ロシアは国内サービスにも影響が出ることを承知の上で、違法と認定したサイトをブロックした。AWSとGoogle併せて1600万件近いIPがブロックされたという。もちろん巻き添え食ったところはたくさんある。それらはAmazonやGoogleに文句をいってるかもしれない。
この話は、裏を返すと他にもある。
たとえば、アメリカでもCloudflareが海賊版配信サービスにサービスを提供、個別にブロックをすることを「技術的に不可能だ」と言い訳していた。
それが裁判で一蹴され、対応が変わってきているとか表裏一体の面もある。
まともな企業ならば「その国で商売するならば、思想信条がどうあれ、まずは適法になるようにする」と言う最も王道的アプローチを取るのは、まぁ、普通のこと。
日本のレンサバなんかでも、中国政府などから停止命令が来た場合、自社全体が遮断されて他の顧客に迷惑がかかる場合があるので、それに対応する規約を入れてるのをよく見るし。
Re: (スコア:0)
「中国や中東の国など」だけで閉じればいいのに。
「中国や中東の国など」以外が利用するネットと繋げるから問題になってる。
Re: (スコア:0)
閉じたところで、スパイウエアやマルウエアに悪用されてる方はどうしょうもないですよ
Torユーザーです (スコア:0)
meek-azure(Azureクラウド経由)、meek-amazon(AWS経由)という選択肢もありますし、
最近開発中のSnowflake(ボランティアで公開されているPCを経由する。日本の某大学のVPNGateのような感じ)もある。
Googleは経由したことないですね。Azureか、自分のドメインに設置したmeekサーバー使ってます。