体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

今回は登大遊さんのブログ『登 大遊@筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記』からご寄稿いただきました。
※すべての画像が表示されない場合は、 https://getnews.jp/archives/411016をごらんください。

VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

(画像が見られない方は下記URLからご覧ください)
https://px1img.getnews.jp/img/archives/2013/09/vpn01.jpg

筑波大学での研究としてVPN Gateプロジェクト http://www.vpngate.net/ を開始してから、間もなく半年になる。現在VPN Gateは国ごとのユーザー数リアルタイムランキング http://www.vpngate.net/ja/region.aspx で公開されているように、全世界198カ国(特別行政区等の地域を含む)から利用されており、これまでに1,226テラバイトのデータ転送があった。ユーザー登録は不要であるが、ユニークユーザー数をユニークIPアドレス数から推測すると本日時点で281万9,313人となっており、世界で最も使用されているVPN中継システムの1つとなりつつある。

VPN Gateプロジェクトは、「検閲用ファイアウォール」がある国からの利用が盛んである。検閲用ファイアウォールといえば、アジアのある国が有名であるが、他にも世界には検閲用ファイアウォールによって厳しい規制が行われている国が11カ国ある。これらの国では、政府が市民に対して例としてTwitterやFacebook、YouTubeなどへのアクセスを禁止している。また、検閲用ファイアウォールが設置されていない国であっても、ISPにおいてすべてのHTTP通信履歴が記録されている国や、インターネットの利用について厳格な実名性が要求されている国がある。このような国では、人々はインターネット経由で特定の政治的な情報を積極的に発信することだけではなく、特定の政治的な情報について掲載されているサイトを閲覧するだけで、それがISPのログに残り、その後公権力によって不当な尋問などの不利益な扱いを受けるリスクがある。VPN Gateはこのような海外の多数の国からの利用があり、これらの人々の知識の向上や政府からの人権侵害に対する保護に役に立っている。

しかし、VPN Gateに対するDoS攻撃や脅迫文等の送付といった妨害も数多く行われている。そのうち多くは、検閲用ファイアウォールがある国の検閲当局によって間接的に指揮され実施されていると思われる。そこで今回は、VPN Gateに対する妨害手法を紹介し、VPN Gateとしてこれらの妨害者による妨害が万一成功した場合に備えて用意している対抗策を述べる。

DoS攻撃によるVPN Gateの動作の妨害

VPN Gateに対する外国からの妨害活動と対抗策としてのオープンソース化について

(画像が見られない方は下記URLからご覧ください)
https://px1img.getnews.jp/img/archives/2013/09/vpn02.jpg

VPN Gateを開始してから半年で、VPN Gateの存在に反対し、VPN Gateを停止させようと色々な妨害的な活動を実施してくる攻撃者がひんぱんに出現した。これらの攻撃者から、VPN Gateの各VPNサーバーやWebサーバーに対してDoS攻撃の通信が来ることが多くある。これらのDoS攻撃の発信元IPアドレスは偽装されており、大量のパケットを送り付け、回線帯域を消費させることを試みるものが多い。発信元IPアドレスが乱数のようになっている大量のUDPパケットが届く場合、これはIP偽装が容易に可能な海外のISPが発信元であると思われる。また、発信元IPアドレスが偽装されていない、正当なTCP/IPパケットが大量に届くことがある。例えば、オランダの大学の固定LinuxサーバーのIPアドレスなどが発信元となっている。ただしこのオランダの大学の回線はかなり太く、日本までかなりの帯域幅でデータが届くので、日本側の回線を消費してしまう。当該オランダのIPアドレスからの通信を調べてみると、他にもいくつかの大規模なWebサイトをDoS攻撃するために使用される通信として報告されているものと全く同一の特徴を有していた。恐らく、誰かに侵入されて不正に利用されているホストであると思われる。

VPN Gateに反対していると思われる人々のうち一部は、前記のように、DoS攻撃などを行いVPN Gateの動作を妨害しようとする。あるときには、回線帯域を100%近く埋め尽くす一方的なトラフィックが海外から投げつけられ、正常な通信ができなくなったことがある。VPN Gateプロジェクト側では、DoS攻撃のパケットと思われる通信をできるだけ遮断するようなファイアウォールをサーバーの手前に設置して対抗しているが、上流回線から流入しているパケットが上流回線を逼迫してしまっている場合は、いくらVPN Gateのサーバーの手前のファイアウォールでDoSパケットを検出する工夫をしたとしても、通信断が発生することを防ぐことはできない。ただし、このような異常なスループットのトラフィックは数分後にはたいてい放っておけば絞られる。海外のISPのどこかで、異常な量のデータが流れてくる方向の帯域を自動的に絞る仕組みがあるのかも知れない。これらの大量のパケットが投げつけられるDoS攻撃は、DNSアンプ攻撃のような安価なものではなく、本当に大量の独自に生成された、無意味な帯域消費を目的とするだけのパケットが届くものであり、攻撃側はかなり太い回線を持っているか、または、攻撃用のボットネットを持っていると思われる。このようなコストがかかる攻撃を行ってくる者(恐らく海外の十分な予算がある攻撃者)がVPN Gateを攻撃する意図として一番可能性が高いものは、海外の一部の国の検閲用ファイアウォールの運営当局がVPN Gateが当該国のユーザーに普及し始めていることを阻止したいというものであると思われる。

1 2 3次のページ
寄稿の記事一覧をみる

記者:

ガジェット通信はデジタルガジェット情報・ライフスタイル提案等を提供するウェブ媒体です。シリアスさを排除し、ジョークを交えながら肩の力を抜いて楽しんでいただけるやわらかニュースサイトを目指しています。 こちらのアカウントから記事の寄稿依頼をさせていただいております。

TwitterID: getnews_kiko

  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。