パスワードを忘れた? アカウント作成
13837398 story
インターネット

韓国でSNIフィールドを使った特定サイトの接続遮断が始まる 103

ストーリー by hylom
中国のネット傘下に入れば良いんじゃないですかね(皮肉) 部門より

韓国で「有害情報」の遮断を目的としたネット検閲が強化された(中央日報)。今回新たにURLやDNSではなく、SSL/TLSのSNIと呼ばれる仕様を使って接続先を検出し遮断を行う仕組みが導入された。これによって、約800件のサイトへのアクセスが遮断されたという。

この影響で、日本のDMMが提供している人気ゲーム「艦隊これくしょん -艦これ-」へのアクセスも行えなくなり、韓国内の同ゲームプレイヤーからは批判の声も出ている模様(Togetterまとめ1Togetterまとめ2)。また、韓国では今後検閲対象を広げる動きもあるようだ。

なお、こういったSNIを使った検閲を回避する手法も開発されている(Qiitaに投稿された解説記事)。この手法はTLS 1.3拡張で提案されており、今後採用例が増えるのではないかとも見られている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • つーか、捜査・起訴権もあるって、すげえ機関だな。特高警察かよ。
    • 最初のところでリンクはられてるTogetterでも言及したんですけど、アレをもう少し詳しく書いておくと、
      韓国というのは、建国から1980年代終わりまで軍事独裁政権が国をムチャクチャにしてて、それを人々が切り崩して軍政を排除した(民主化)。と言う歴史を抱えてるんですが、その時の「民主化」の立役者としてキリスト教左派の人たちというのがいた訳です。
      そして、その人たちの中のフェミニズムに近い立場の人たちが、日本の戦時犯罪問題を日本側から追及していた左派の人たちとつながり、それが「民主化後」の韓国の左派系大衆運動で非常に大きな立場にいた訳です。この人たちは、その後日韓の揉め事の中心となった慰安婦問題で、強硬な「反日」を運動手法の中枢に据えていく訳ですが…。
      更に、その日本の左派というのは、主に日本のフェミニズム運動を担って来た人たちが中心で、この人たちも、片方では男性に対する怒りや恨みからフェミニズムに見を投じた人たちがいて、もう片方に、プロテスタントの影響を強く受けてる人がいて、その両方が融合した集まりだったんですよ。
      そして、日本側の人たちは、1990年前後の「有害コミック排除運動」を契機に、本来相容れないはずの右派系のカルト宗教(例えばキリストの幕屋や念法眞教)や警察官僚と呉越同舟して、その後のなし崩し的な検閲法制や青少年健全育成という名前の青少年へのハラスメント的な政策整備を行い、自民党的な政治の中枢と繋がり、どんどんと法律をゴリ押ししていった。
      韓国側も、それに倣って同じことをやったんですが、向こうの場合は日本と違って元々キリスト教が物凄く強い土地柄で、政治との結びつきも強かったので、日本よりも過激な法律がゴリ押しされてしまったし、それで被害を実際に受ける人たちに対して犯罪者として重罰を与えることがまかり通ってる。
      そういう中で、日本では男女共同参画政策が、男性憎悪とキリスト教的な純潔道徳を善とする人たちの政治力の源になり、カネと公共事業を采配することで日本のフェミニズムを感染におかしなことに向かわせたように、
      韓国でも同じようにして、男性憎悪とキリスト教的な道徳を善とする、左右のエリート層が女性家庭部を作って、その時に日本よりも強い法的権限を付けさせることに成功したから…。

      おまけでかいておきますが:
      向こうには男性にだけ徴兵制があって、徴兵される男性の大半が就職で不利益を強いられてる。と言う事情があったので徴兵経験者を就職で優遇する制度があったのを、女性家庭部の前身になる部局とフェミニズム運動・左右のキリスト教が主となって廃止させたんですよね。ジェンダー平等に反する・国際標準に背いてる。と称して。
      その事で、タダでも超格差社会で「一回の就活で財閥系企業の正社員になれなかったら人生おしまい」と言う要素が強くなってた韓国社会では、女性の社会進出が進んだ代償として、男性側に多くの「落伍者」を強制的に産み出すことになってしまった。
      それを是正するよう要求する運動が2010年前後に出来たんですが、社会からバッシングされただけでなく(左右問わず意識高い系のメディアが攻撃を煽った)、運動自体が非合法化されてしまった…。

      親コメント
    • by Anonymous Coward

      あそこは選挙してるだけで、政治体制自体は軍事政権の色々を引き継いだままや

  • 韓国の SNI を使ったこの方式のブロッキングは「先見の明」がある最先端の方法です。

    Contributes to HTTP, TLS, QUIC development at IETF という肩書を持つ Kazuho Oku 氏でさえも、
    (とはいえ、SNI blocking するISP箱や国家レベルブロッキングしてる設備でも、たまたま入れてる設備が同等・互換で見て遮断しちゃうとかはあるんだろうな的な。)というツイートに対して、
    「そういう話は聞いていませんし、実際、大規模なブロッキングではTLSの中身を見てどうこうするというコスト高の手法はこれまで避けられてきたと理解しています」と返答 [twitter.com] しているほどです。

    特定の FQDN をブロッキングするのは DNSブロッキングで簡単にできますが、何故そっちの方式を採用せず高負荷な SNI blocking にしたのかというと、
    DNSブロッキングは Chrome などの主要ブラウザが DNS over TLS を標準にしてしまえば、簡単に回避できるからです。

    一方、TLS 1.3 については、対応しているWebサーバは現時点ではほどんどないうえ、ブラウザが対応すれば終わりのDNS over TLSと違ってアクセスするWebサイトのサーバ側が TLS 1.3 に対応しなければ SNI blocking を回避できません。

    しかも、SNI blocking の方は、TLS 1.3 を検出すれば(ホスト名が平文で送信される TLS 1.2 以下を検出できなければ)ブロッキングの対象とすることで、TLS 1.3 の使用を妨害することができます。
    そうなると、韓国のユーザはブラウザの設定で TLS 1.2 以下を使うようにせざるを得ないので、ブロッキングは効果的に機能することになります。
    Webサーバ側がTLS 1.2以下に対応せずにTLS 1.3専用にするのは現時点では考えにくいですしね。

    • しかも、SNI blocking の方は、TLS 1.3 を検出すれば(ホスト名が平文で送信される TLS 1.2 以下を検出できなければ)ブロッキングの対象とすることで、TLS 1.3 の使用を妨害することができます。

      TLS 1.3をサポートしていても、ESNI(暗号化SNI)をサポートしていないブラウザもあるので、
      TLS 1.3以上でESNI非対応は許してあげてもいいんじゃないですかね。

      手元のブラウザがESNIに対応しているかどうかは、ここ [cloudflare.com]で判定可能です。

      ところで、SNI blockingは、UTM/FWでもサポート [fortinet.com]されている機能ですね。
      これらの製品は、どう対応していくんですかね?

      親コメント
    • しかし指摘にあるようにHTTP/HTTPSに対していちいちプロトコルまでデコードするのは設備的に大がかりじゃありませんか。
      あの国だからISPも寡占化が進んでいるのでしょうけど、すべてのHTTP/HTTPSリクエストに対してデコードとDNS名マッチングするのは大変な計算リソースが必要な気が。

      p.s.
      ポート名を変えたプロクシを日本に立てれば、彼らは抜けられるかも。

      親コメント
      • 2008年だったかな07年だったかな、そこら辺の実情を韓国で見てきた人の勉強会に参加したことがあったんですけど、その時点で、すでに、韓国のネット検閲装置を開発してる企業は、パケット自体を(TLSやSSLの中身に介入して)チェックして検閲回避を阻止したり、検閲回避をする人をブラックリスト化するシステム・それも相当高速なシステムを多くの国や企業・公的機関に売り込んでたんですよね。
        勿論、その会社だけではなく、韓国だけでそのような会社が数社あり、ISPやなんやに売り込んでて、営業先には日本の企業やIHCのような準公的機関も含まれてる。と言う話でした。

        10年ほど前でそんな状態だったのですから、今はもっとえげつないでしょう。TLS1.2までのセキュリティホールを高速に破壊したり、TLS1.3以降で回避しようとしたりする人をブラックリスト化したりパケットをすり替えたりするようなシステムが、すでに韓国企業や他国企業によって商品化されてておかしくない。

        親コメント
    • 「先見の明」があればこんなことやらないだろう
      あっさり検閲サーバーが落ちたりして

      親コメント
    • by Anonymous Coward

      Webサーバ側がTLS 1.2以下に対応せずにTLS 1.3専用にするのは現時点では考えにくいですしね。

      SSL3.0やTLS1.0だって脆弱性見つかるまでは無効化されるなんて考えにくかったですけどね。

  • by Anonymous Coward on 2019年02月13日 18時14分 (#3564374)
    JSONファイルを生で投げつけてるからProxyかまして標準クライアントに表示できないデータを可視化するってのが流行ってたと思うんだけど。
    あとフリーWifiとかでプレイすると容易にアカウントハックされるから要注意だとか。
  • by Anonymous Coward on 2019年02月13日 18時19分 (#3564377)

    素朴な疑問なんだが。
    韓国だとアダルトサイトは違法なの?
    それとも違法じゃないけど有害だからNGって話なの?

    • by nnnhhh (47970) on 2019年02月13日 18時38分 (#3564389) 日記

      聞いた話ですがリベンジポルノの拡散を防ぐため、と言うお題目があるとかなんとか

      親コメント
    • by Anonymous Coward on 2019年02月13日 19時03分 (#3564417)

      性的コンテンツはすべて違法。実写と絵や漫画の両方を含む。モザイクをかけても同じ。
      被害者保護という建前もなく、言論の自由も関係なく、とにかく社会には要らない価値のない権利を認める意味もないものなので排除するというスタンス。

      親コメント
      • by KAMUI (3084) on 2019年02月14日 5時39分 (#3564647) 日記
        結局、韓国民にとっての民主主義ってのは、21世紀の現在においても李承晩が掲げた「一民主義」がベースになってるってことなんでしょう。

        「我々は共産主義と対峙するから民主主義だ」って考え方で、反共のためと称して「要らない・価値のない・権利を認める意味もない」ものを排除してきたのが
        反共が抜け落ちて言論などの自由を制限する部分だけ残ったという。ウリ社会的な共通認識になってしまうとそれについての反論(どころか考察すら)一切許されない。
        親コメント
      • by Anonymous Coward

        儒教国家ってすごいな。日本で儒教が廃れつつあってほんとよかった。

        • by Artane. (1042) on 2019年02月14日 2時41分 (#3564616) 日記

          最近の向こうで強いのは、儒教というよりキリスト教(プロテスタント)のようですよ。
          儒教の悪いところとキリスト教の悪いところが悪魔合体して、法制度や社会道徳とされている。

          親コメント
      • by Anonymous Coward

        大日本帝国における治安維持法に相当する法律(国家保安法)がある国だし、仕方ないな

        そんな強力な法律あるのに活用されずに北朝鮮の傀儡になってる気がしてならないけど

  • by Anonymous Coward on 2019年02月13日 18時21分 (#3564379)

    日帝ゲームの艦これが今まで遊べてたのがアオリ抜きで不思議なんですが、なんでいままでOKだったの?

  • by Anonymous Coward on 2019年02月13日 18時40分 (#3564391)

    完全検閲か完全暗号化→違法化しか未来が見えない
    絶望的だよ

    • by Anonymous Coward

      まあ、中韓はそうだろうね。ご愁傷様。
      いまのところ日本はまだマシだから。

      • by Anonymous Coward

        スクショ違法化の法案が通りそうなのに!?

      • by Anonymous Coward

        日本は刑法175条がある国だぜ。素養は十分だ。
        最近のブロッキングの議論なんかを見てると、10年遅れくらいで彼らの後を追うことになるかもな。

        • by Anonymous Coward

          10年遅れくらいで彼らの後を追うことになるかもな。

          そりゃいい。あと10年も安泰なら、その頃には世の中の潮流も変わってるだろうし。

    • by Anonymous Coward

      朝鮮半島統一が近いので都合の悪いものは見せられないからね
      仕方ないね

  • by Anonymous Coward on 2019年02月13日 19時11分 (#3564422)

    そうくるなら、こちらも黙っていないよです。

    https://www.famitsu.com/news/201902/12171676.html [famitsu.com]

    • by Anonymous Coward

      売上さがって文句の一つも言ったのかと思ったら
      実は現地法人作っていたよ(去年から)って話ね

      • by Anonymous Coward

        これ去年から韓国に会社準備してていざ設立となった段階で、DMMのコンテンツはけしからんとされたって見方はダメなんですかね……

  • by Anonymous Coward on 2019年02月13日 21時36分 (#3564507)

    直接接続する先がリバースプロキシだったりするような場合は、全部止めちゃうわけだ。

    無駄な努力、ごくろうだねぃ、という印象。1000個程度ならともかく、1000万レベルに達したら、果たしてルータはSNIを含んだパケットのマッチングを、遅延せずにできるのだろうか、という意味で。

    違法サイトなんて1000万個じゃ済まないだろうし。だって過去のもあるでしょ?
    全部マッチングしなければ無意味になりかねない。

    どうやってそのデータ更新するんだろうな。ご苦労なことだ。

  • by Anonymous Coward on 2019年02月13日 21時40分 (#3564509)

    TLS1.2の通信も証明書は平文だから、URLはわからなくてもサイト名は普通に見えていたけど、TLS1.3でこれじゃいかんと証明書も暗号化されると聞いて、じゃあSNIも暗号化されるんだろうなと思ってたら、「拡張」で「提案」だったのね。なんで標準にしなかったんだろ?

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...