英ケンブリッジ大学の研究者らは,中国政府が国民のWebページ閲覧を制限するためのファイアウオールについて,検閲を回避する手法を編み出した。同大学のRichard Clayton氏が英国時間6月27日に,ケンブリッジ大学コンピュータ研究所セキュリティ・グループのブログ「Light Blue Touchpaper」で明らかにしたもの。
中国政府は,ある種の情報が記載されたWebサイトへのアクセスを遮断するため,検閲用ファイアウオールを設置している。このファイアウオールは,万里の長城(Great Wall of China)になぞらえ「Great Firewall of China」と呼ばれる。このため中国内では,法輪功(Falun Gong)や天安門事件に関するWebサイトを閲覧することができない。
Clayton氏の研究グループはこのファイアウオールの仕組みを調べ,検閲対象となるキーワードを含むWebページの閲覧に成功したという。同氏によると,アクセスの遮断は中国と国外の境界部にある大規模なルーターではなく,エンド・ユーザーに近い装置で実現していたという。
「大規模ルーターからのパケットに対象キーワードが含まれていることを検出しても,各ネットワーク装置はそのパケットの転送を阻止しない。その代わり,ネットワークの下位にある装置が一連のTCPリセット・パケットを生成し,エンドユーザーに送信する。エンドユーザーの装置は接続遮断を要求する正しいリセット・パケットと認識し,リセットを実行する。その結果,検閲が可能となる」(Clayton氏)。
Clayton氏は,「本来のパケットはファイアウオールを無傷で通過しているので,生成されたすべてのリセット・パケットを両エンドポイントで無視すれば,接続は妨害されずに済む」と述べる。実際に試したところうまく機能したという。詳細については,調査報告書「Ignoring the Great Firewall of China」(PDF形式)に記載している。
さらにClayton氏は,「OSベンダーがリセット・パケットを無視する仕組みを標準機能として提供すれば,中国国民は特殊なファイアオール回避コードを実行する必要がなくなり,市販のソフトウエアを買ってくるだけで済むので実用的」と指摘する。
これについて米メディア(InfoWorld)は,Clayton氏は米Microsoftに同機能搭載の可能性を問い合わせたが,広報部門経由で回答を拒否されたと報じている。
また別の米メディア(CNET News.com)によると,Clayton氏は「中国内のネットワークにおけるセット・パケットの特殊な処理を使うことで,中国国内の特定IPアドレスを狙ったサービス拒否(DoS)攻撃が実行可能」と述べたという。
