VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

今回は登大遊さんのブログ『登 大遊＠筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記』からご寄稿いただきました。
※すべての画像が表示されない場合は、 https://getnews.jp/archives/411016をごらんください。

VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

（画像が見られない方は下記URLからご覧ください）
https://px1img.getnews.jp/img/archives/2013/09/vpn01.jpg

筑波大学での研究としてVPN Gateプロジェクト http://www.vpngate.net/ を開始してから、間もなく半年になる。現在VPN Gateは国ごとのユーザー数リアルタイムランキング http://www.vpngate.net/ja/region.aspx で公開されているように、全世界198カ国（特別行政区等の地域を含む）から利用されており、これまでに1,226テラバイトのデータ転送があった。ユーザー登録は不要であるが、ユニークユーザー数をユニークIPアドレス数から推測すると本日時点で281万9,313人となっており、世界で最も使用されているVPN中継システムの1つとなりつつある。

VPN Gateプロジェクトは、「検閲用ファイアウォール」がある国からの利用が盛んである。検閲用ファイアウォールといえば、アジアのある国が有名であるが、他にも世界には検閲用ファイアウォールによって厳しい規制が行われている国が11カ国ある。これらの国では、政府が市民に対して例としてTwitterやFacebook、YouTubeなどへのアクセスを禁止している。また、検閲用ファイアウォールが設置されていない国であっても、ISPにおいてすべてのHTTP通信履歴が記録されている国や、インターネットの利用について厳格な実名性が要求されている国がある。このような国では、人々はインターネット経由で特定の政治的な情報を積極的に発信することだけではなく、特定の政治的な情報について掲載されているサイトを閲覧するだけで、それがISPのログに残り、その後公権力によって不当な尋問などの不利益な扱いを受けるリスクがある。VPN Gateはこのような海外の多数の国からの利用があり、これらの人々の知識の向上や政府からの人権侵害に対する保護に役に立っている。

しかし、VPN Gateに対するDoS攻撃や脅迫文等の送付といった妨害も数多く行われている。そのうち多くは、検閲用ファイアウォールがある国の検閲当局によって間接的に指揮され実施されていると思われる。そこで今回は、VPN Gateに対する妨害手法を紹介し、VPN Gateとしてこれらの妨害者による妨害が万一成功した場合に備えて用意している対抗策を述べる。

DoS攻撃によるVPN Gateの動作の妨害

（画像が見られない方は下記URLからご覧ください）
https://px1img.getnews.jp/img/archives/2013/09/vpn02.jpg

VPN Gateを開始してから半年で、VPN Gateの存在に反対し、VPN Gateを停止させようと色々な妨害的な活動を実施してくる攻撃者がひんぱんに出現した。これらの攻撃者から、VPN Gateの各VPNサーバーやWebサーバーに対してDoS攻撃の通信が来ることが多くある。これらのDoS攻撃の発信元IPアドレスは偽装されており、大量のパケットを送り付け、回線帯域を消費させることを試みるものが多い。発信元IPアドレスが乱数のようになっている大量のUDPパケットが届く場合、これはIP偽装が容易に可能な海外のISPが発信元であると思われる。また、発信元IPアドレスが偽装されていない、正当なTCP/IPパケットが大量に届くことがある。例えば、オランダの大学の固定LinuxサーバーのIPアドレスなどが発信元となっている。ただしこのオランダの大学の回線はかなり太く、日本までかなりの帯域幅でデータが届くので、日本側の回線を消費してしまう。当該オランダのIPアドレスからの通信を調べてみると、他にもいくつかの大規模なWebサイトをDoS攻撃するために使用される通信として報告されているものと全く同一の特徴を有していた。恐らく、誰かに侵入されて不正に利用されているホストであると思われる。

VPN Gateに反対していると思われる人々のうち一部は、前記のように、DoS攻撃などを行いVPN Gateの動作を妨害しようとする。あるときには、回線帯域を100%近く埋め尽くす一方的なトラフィックが海外から投げつけられ、正常な通信ができなくなったことがある。VPN Gateプロジェクト側では、DoS攻撃のパケットと思われる通信をできるだけ遮断するようなファイアウォールをサーバーの手前に設置して対抗しているが、上流回線から流入しているパケットが上流回線を逼迫してしまっている場合は、いくらVPN Gateのサーバーの手前のファイアウォールでDoSパケットを検出する工夫をしたとしても、通信断が発生することを防ぐことはできない。ただし、このような異常なスループットのトラフィックは数分後にはたいてい放っておけば絞られる。海外のISPのどこかで、異常な量のデータが流れてくる方向の帯域を自動的に絞る仕組みがあるのかも知れない。これらの大量のパケットが投げつけられるDoS攻撃は、DNSアンプ攻撃のような安価なものではなく、本当に大量の独自に生成された、無意味な帯域消費を目的とするだけのパケットが届くものであり、攻撃側はかなり太い回線を持っているか、または、攻撃用のボットネットを持っていると思われる。このようなコストがかかる攻撃を行ってくる者（恐らく海外の十分な予算がある攻撃者）がVPN Gateを攻撃する意図として一番可能性が高いものは、海外の一部の国の検閲用ファイアウォールの運営当局がVPN Gateが当該国のユーザーに普及し始めていることを阻止したいというものであると思われる。

脅迫的なメール等による VPN Gateの停止の要求

VPN Gateを停止させようとする攻撃は、技術的な攻撃だけに留まらない。VPN Gateに反対していると思われる人々の中には、メール、手紙、電話、フォーラムへの書き込みなどで脅迫的なことを述べ、VPN Gateの運用を止めるよう迫ってくる者も多数いる。そのような書き込みや電話をしてくる人たちの多くは、日本語の文章や言葉で連絡をしてくるので、一見すると日本人のように思える。しかし、文章や言葉をつぶさに観察すると、少し違和感がある場合が多い。また、頑張って日本語を書いたのだろうが、残念ながら全体として論理が破綻している場合も多い。日本人の書く文章や話す言葉ではありえないような論理の飛躍や、おかしな表現もある。また、日本で使われていない漢字（JISにない）が含まれていることもある。これらの日本語の文章や電話は、海外の一部の国の検閲用ファイアウォールの運営当局の関係者か、関係者によって委嘱された、日本語がある程度上手な人によって書かれたり実施されたりしていると思われる。中には、機械翻訳による日本語のものもあって面白い。たいていの内容は単なる脅迫的な稚拙な文章であるが、中には、VPN Gateがあるアジアの国の検閲用ファイアウォールを通過できる機能を具備することが、当該アジアの国の主権を侵害することになり、国際問題となることを心配している、といった具合の、ある程度よく考えられた理屈が書かれている。しかしこのような理屈が書いてあるメールも、やはりよく見ると日本語がおかしかったり、論理の飛躍があったりする。検閲用ファイアウォールがある国の検閲当局が、DoS攻撃によるVPN Gateの停止がうまくいかなかったので、別の手段として、コミュニケーションによって脅すことでVPN Gateを停止させようとしてきているのではないかと考えられる。

VPN Gate反対派に対する対抗措置

上記のようなVPN Gate反対派のDoS攻撃や脅迫的なメール等は、VPN Gateを日常的に利用することで政府による検閲用ファイアウォールで遮断されない自由なインターネットへのアクセスをようやく手に入れた検閲国内のユーザーから、VPN Gateを取り上げて利用できなくしてしまうことを目的している。しかし、我々はいったんVPN Gateプロジェクトを開始した以上は、こういったDoS攻撃や脅迫的なメール等の送付が多数実施された場合でも、それにひるむことなく、継続してVPN Gateを提供し続けなければならないと考えている。仮に、検閲国の大学において、研究者がVPN Gateのように検閲用ファイアウォールを回避するためのシステムを作り始めたら、即刻、中止するよう政府から命じられることは明らかである。VPN Gateのような検閲用ファイアウォール回避システムを研究・開発し提供することは、インターネット利用上において政府による検閲や言論統制がない日本のような国でなければ行うことはできない。日本においてVPN Gateの研究を継続し、検閲用ファイアウォールが設置されている国内の人々に利用してもらうことは、長期的には、日本のようにインターネット上での言論統制がない素晴らしい環境と同等のインターネット環境を世界中に広めることにつながる。VPN Gateをより長期間安定提供する試みは、長期的にみた世界の流れに沿う正しいことであるように思われる。

外国の検閲当局による妨害に対する対抗措置としてのオープンソース化

今のところ、検閲用ファイアウォールがある国の検閲当局によって間接的に指揮され実施されていると思われるVPN Gate反対派の手段は、DoS攻撃や脅迫文等の送付といった初歩的なものに留まっている。しかし、これらの外国の検閲当局によって間接的に実施させる妨害策は今後さらに拡大する可能性がある。そこで、VPN Gateプロジェクトでは対抗策として、仮に何らかの理由でVPN Gateの運用を停止しなければならない自体となった場合は、速やかに全ソースコードをオープンソース化して配布する旨を http://www.vpngate.net/ja/about_faq.aspx で公開当初から宣言している。ソースコードにはVPN Gateのボランティアサーバプログラムとクライアントプログラムだけではなく、VPN Gateの中央のVPNサーバーリストを公開し配布するWebサーバープログラムとデータベースプログラムのフルセットも含まれる。もし我々が直接運用する VPN Gateサービスが長期間または恒久的に停止することとなった場合は、サーバー運用の知識がある方であれば、誰でもVPN Gateとそっくりそのままで独自のサービス名やドメイン名を付けた新しいVPN Gateの派生サービスを公開できるようにする。

したがって、もしVPN Gate反対派がVPN Gateを停止させようとする試みを一時的に成功させた場合も、VPN Gateの派生サービスを世界中誰でも立ち上げることができるようになり、その場合はすべてのVPN Gateの派生サービスを停止させることはとても難しくなる。小さな規模の各派生サービスが大量に分散して出現すれば、すべてのサービスに対して攻撃や脅迫等の妨害を行うには、1個のVPN Gateサービスを停止させるためのコストと比較して莫大なコストがかかる。そして、検閲国内のユーザーは、利用可能ないずれかの派生サービスを少なくとも1個でも見つければ、再度VPNを経由してインターネットに出ることができるようになる。ソースコードが公開されていれば、VPN Gateの派生サービスに関する特定の技術的攻撃が行われた場合に、それに対する耐性を実装することも各自が自由に行うことができるようになる。

このように、VPN Gateの反対派が、現在VPN Gateプロジェクトが筑波大学において運用しているVPN Gateのサービスを停止させようと攻撃や妨害をすることは、仮にそれが成功しても、結果として、VPN Gateの派生サービスが多数発生することにつながり、VPN Gateの反対派の思い通りの結果にはならない。むしろ、VPN Gateの反対派である検閲国の検閲当局にとってより不利な結果となるに違いない。いかなる国のインターネット上の検閲行為も、長期的に考えると長続きはしない。国内の人がVPN GateのようなVPNを利用することについて、それを積極的に妨害しようとせずに、VPNを利用している人は利用させておき放っておくのが、検閲当局にとっては最も有利な手段のはずである。

VPN Gateをオープンソース化した場合に発生する悪用容易性よりもオープンソース化のほうが大切

VPN Gateは、現在、ごく一部の人がこれを悪用しておかしな書き込みを2chに行っているといった報告を受けている。しかし、VPN Gateを悪用して違法な書き込みを行うのは、書き込み元の身元を犯罪捜査から隠す目的には使えず、賢明な方法であるとは思えない。VPN Gateプロジェクトでは、不正利用防止の取組み http://www.vpngate.net/ja/about_abuse.aspx にあるように、各VPN GateボランティアサーバーからのVPNログは、VPN Gateの中央サーバーに集約されている。万一、VPN Gate経由で違法行為が行われた場合、VPNログを確認することで、違法行為を行った元のIPアドレスを判別することができる。さらに、各ボランティアサーバーにおいて保存されるVPNパケットログは、ログを保存する機能を容易に無効にできないようにしている。これらのことによりVPN Gateを利用した悪用を行う者が増加することを防止しており、VPN Gateを用いた悪用件数は非常に少ない。これらのことがなぜ可能であるかというと、現在VPN Gateのボランティアサーバーのプログラムと、VPN Gateの中央サーバーのWebサーバープログラムのソースコードは非公開であり、誰もVPN Gateの類似・派生サービスを立ち上げることができないためである。つまり、VPN Gateはソースコードを非公開の状態におくことで、たとえばVPNログを全く保存しないボランティアサーバプログラムの出現を防止したり、VPNログを集約して蓄積する機能がない犯罪利用の際の身元を確実に隠せる完全匿名サービスとしてのVPN Gate派生サービスの出現を防止したりしている。我々がこれらの対策を行う理由は、VPN Gateを犯罪利用の際の身元を確実に隠せる完全匿名サービスとしてではなく、ファイアウォール回避用サービスとして利用してもらいたいという理念に基づく。この理念は、我々が直接VPN Gateのサービスを運用している場合に限り成立する。

ただし、前記のとおり、我々が実施している現状のVPN Gateのサービスに対する他国の検閲当局による妨害によりサービスを停止しなければならなくなった場合には、VPN Gateのソースコードの公開が最優先の実施事項となる。そして、ソースコードをダウンロードし、自分でそれをもとにVPN Gateサービスの派生サービスを構築する者が出現すれば、その新派生サービスが、現行のVPN Gateサービスが保証しているログ記録の強制およびログの集約をあくまでも保証し続けるかは、当該新派生サービスの運営責任者それぞれが任意のポリシーを制定し、これを決定することになる。その結果、我々の理念である、VPNログを集約して蓄積する機能がない犯罪利用の際の身元を確実に隠せる完全匿名サービスとしてのVPN Gate派生サービスの出現の防止は、残念ながら不可能になる。このような場合に生じる責任は、各派生サービスの運用者に帰属するものであり、VPN Gateの元のソースコードを開発してオープンソース化した我々には責任はないと考える。(改造すれば悪用される可能性があるオープンソースのプログラムの最初のバージョンを公開した最初の開発者に、その後の他の者による改造に起因して生じる責任があるという考え方は、受入れられない。)これらのことから、将来VPN Gateが妨害を受けないようにするためにやむを得ない場合においては、VPN Gateのソースコードをオープンソース化して配布することを最優先とすることが、最も正しい選択であると信じる。

VPN Gateに対するDoS攻撃や日本語での脅迫文等の送付といった妨害を盛んに行ってくる検閲国のファイアウォール管理当局においては、そのような妨害行為が望み通りの結果を招くことにはならないことを理解して頂きたい。

海外で紹介された VPN Gateのニュース記事等の一覧

（画像が見られない方は下記URLからご覧ください）
https://px1img.getnews.jp/img/archives/2013/09/vpn03.jpg

VPN Gateは、これまで以下のように、多数の海外ニュースサイトで取り上げられ、多くの記事中において、検閲国政府の検閲ファイアウォール回避用のシステムとして評価されている。多くの記事では、日本国（Japan）および筑波大学（University of Tsukuba）の名前が掲載され、日本初のソフトウェアおよびサービスとして短期間で世界中に急速に広がった例の1つとなっている。

・ http://www.neoteo.com/vpn-gate-acceso-libre-a-docenas-de-vpns-anonimas
・ http://www.translatedweb.com/es/torrent-freak/libre-acceso-docenas-de-vpns-anonimas-gracias-proyecto-universitario
・ http://torrentfreak.com/free-access-to-dozens-of-anonymous-vpns-via-new-university-project-130324/
・ http://www.dobreprogramy.pl/Japonski-uniwersytet-zebral-liste-serwerow-VPN-ktorych-wlasciciele-chca-pomoc-omijac-cenzure,Aktualnosc,40193.html
・ http://www.zive.cz/bleskovky/japonska-univerzita-nabizi-seznam-bezplatnych-vpn-po-celem-svete/sc-4-a-168153/?utm_source=connect&utm_medium=selfpromo&utm_campaign=floatbox
・ http://www.myce.com/news/japanese-project-bypasses-filters-and-censorship-with-vpns-66565/
・ http://www.cnet.com.au/uni-project-gives-access-to-free-anonymous-vpns-339343784.htm
・ http://www.tomshw.it/cont/news/vpn-per-the-pirate-bay-e-vedere-skygo-all-estero/44211/1.html
・ http://www.zdnet.fr/actualites/une-universite-japonaise-lance-son-projet-d-acces-aux-vpn-gratuits-39788562.htm
・ http://intellihub.com/2013/03/24/free-access-to-dozens-of-anonymous-vpns-via-new-university-project/
・ http://vpngratuit.org/vpn-gate-gratuit/
・ http://www.net-security.org/secworld.php?id=14602
・ http://korben.info/un-vpn-gratuit-pour-tous.html
・ http://www.lemondeinformatique.fr/actualites/lire-un-site-de-vpn-gratuits-pour-eviter-l?error
・ http://asia.cnet.com/vpn-gate-bypasses-firewalls-for-free-62220830.htm
・ http://linmagazine.co.il/node/view/50299
・ http://www.itworld.com/networking/348078/users-flock-japan-students-firewall-busting-thesis-project
・ http://yro.slashdot.org/story/13/03/13/1719214/users-flock-to-firewall-busting-thesis-project
・ http://www.computerworld.com/s/article/9237551/Users_flock_to_Japan_student_s_firewall_busting_service
・ http://www.mytstar.com/?p=2462
・ http://beijingtechreport.tumblr.com/post/45188470743/vpn-gates-volunteer-community-offers-vpn-service-at-no

執筆： この記事は登大遊さんのブログ『登 大遊＠筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記』からご寄稿いただきました。

寄稿いただいた記事は2013年09月03日時点のものです。