すべてのVPN遮断を中国政府が要請 – 技術的に可能か考察してみた

中国政府がついに強硬手段に打って出た。国内の大手キャリア3社に対して個人利用のVPNアプリが行う通信を、すべて遮断するように要請(命令)してきたのだ。だが、技術的に可能なのだろうか？

インターネットアクセスを完全管理

今回の命令は、国営通信事業者であるChina Mobile(中国移動通信)とChina Telecom(中国電信)、およびほぼ国営であるChina Unicom(中国聯通)の3事業者に対して出されたもの。内容としては、個人が利用するVPNアプリの通信を遮断するというものだ。

Beijing has ordered state-run telecommunications firms, which include China Mobile, China Unicom and China Telecom, to bar people from using VPNs, services that skirt censorship restrictions by routing web traffic abroad, the people said, asking not to be identified talking about private government directives.

China Tells Carriers to Block Access to Personal VPNs by February – Bloomberg

同3社に対して今回の施策の期限として2018年2月1日を提示しているという。

予兆はもともとあった。習近平政権は、その成立直後からサイバーセキュリティ法やスパイ法の整備、国内マスメディアの完全統率など体制への批判を含む情報管理するための政策に余念がなかった。デマなど政府指定ニュースソース以外はすべてグレー扱いになっている。

サイバーセキュリティ法案を公表

データに安全な場所はなし中国全人代が政府による情報管理をまとめたサイバーセキュリティ法案を公表した。まだ、法案のレベルだが、通信の秘密をないがしろにし、個人情報への自由なアクセスを明文化するなどツッコミどころ満載である。同法の行き先から目が...

jcvisa.info

2015.07.24

法整備が終わった後に、もともとグレーゾーンであったVPN業者を違法化した。これも今年の3月に政策として盛り込み、中国国内のVPNを許認可制度へ移行させた。

中国のネット規制を回避するVPNが全面禁止に

VPN禁止でネットが規制だらけに 中国当局が2017年の春から1年弱かけて、当局が行っているネット規制を回避する用途で使われているVPNを全面排除する。ネットの安全が国家の基礎であると宣言した習近平政権の姿勢を反映したものだ。在中外国人のネ...

jcvisa.info

2018.08.07

今月に入ってからはこの許認可制度に基いて、ユーザを多く抱えるVPNベンダーへ実力行使が行われ数社がサービス停止に追い込まれている。

被害金額5兆円！VPN騒動より深刻なP2P詐欺

中国在住の外国人やその周りでVPN規制の話題が2-3日前から取りざたされてる。が、以前から取り上げていたP2P理財で、巨額な詐欺事件があがっているのでこちらもあわせて紹介。

jcvisa.info

2017.07.07

また、直近では個人情報保護の名のもとに、外資企業のデータを国外に移動させる場合にも規制を書けてくるなど、”インターネットの中国化”を推し進めてきた。

企業データの国外持ち出しが許可制に

中国のネット当局が、国内に展開する外資企業が保有する企業データの移動制限を検討している。まだ意見募集中としているが、民族系含む企業のデータ持ち出しに一石を投じるかもしれない。

jcvisa.info

2017.04.12

政府としては、中国インターネットの国際化などは毛頭考えがなく、むしろ中国化したインターネットを海外へ広めようとしており、今後も規制は強化が続くだろう。

個人VPNをすべて規制することは可能なのか？

今回の規制はどういうものになるのか、推測してみたい。ちなみに、私はネットワークエンジニアではなく、アプリエンジニアなので間違いがあるかもしれない。そのときは、そっと教えてください(笑)

個人対象に規制

中国のインターネットでは、アカウントすべてが当局から管理されている。そして、そのアカウントは大まかに分けて政府(人民軍含む)、政府系団体、一般企業、個人がある。インターネット上で通信するときは、このアカウントごとに経路が割り振られる仕組みになっているようだ。そのため、まず個人全体を規制することは可能である。

では、VPNをすべて規制することは可能なのか？

VPNプロトコルの規制

VPNの中でも古い規格であれば可能である。たとえば、ファイアウォールには「IPsec や PPTP は通さない」といったフィルタを書くことができる。この方法を用いれば IPsec や PPTP など古い規格のVPNプロトコルは一律遮断できる。

在宅勤務を実現するリモート・アクセスVPN構築術:最終回 Windows OSで作るVPNサーバ – @IT

同じように特定のポート番号を使うVPNプロトコルであれば同様に遮断できる。ルータなどがパススルーできる(通すことができる)ということは、通信の遮断も可能である。

VPNパススルー機能

ところが、OpenVPNなど世代の新しいVPNの場合は、このような手法が使えない。OpenVPNはもともとソースコードが公開されており、コード利用者が挙動を変えることができる。一律にこれを遮断することは難しいだろう。

また、SoftEtherなどはHTTPSポート(443)に乗せてVPN通信することができるので、これを規制すると本来の暗号化通信を妨げる可能性があり、難しいであろう。

PacketiX VPN プロトコルは自分自身を TCP/IP コネクションとして通信させ、かつ SSL で暗号化すると共に HTTPS (443 番ポート) を使用して通常の HTTPS 通信と同様のプロトコルシーケンスで通信を確立するため、ほとんどのファイアウォールはこれを HTTPS 通信として処理します。

PacketiX VPN – ファイアウォールやプロキシサーバーを経由した VPN 接続

一応、こういうプロトコルの挙動を監視し、通信を遮断するソフトウェアもある。ただし、上述のように挙動を変えることでこれらの規制から逃れることができる。そのため、現在のブラックリスト方式ではすべてのVPNを規制するのは難しい。

少なくともVyprvpnのように独自にVPNプロトコル(これはOpenVPNの派生ではないかと思われるが)を規制することはできないだろう。もちろん、随時VPNホストを規制することで妨害はできるが、現在と同じいたちごっこに歯止めがかからない。

究極のインターネット規制

ただ、そう遠くない未来、中国は今のブラックリスト方式(禁止項目を列挙する方法)からホワイトリスト方式(許可項目を列挙する方法)へ移行するのでは？と考える。

ホワイトリスト方式については、以下の用語集が詳しい。

ホワイトリスト方式とは、電子メールやWebサイトのフィルタリングを実施する方法の一つ。
ブラックリスト方式が危険なユーザーやWebサイトの一覧を作るのに対し、ホワイトリスト方式は安全が確認されている対象のリストを作り、それ以外を排除する方式を取る。危険な対象をほぼ完全に遮断できる反面、リストの中身が恣意的で、安全な対象の一部に限られてしまい、利用者の利便性を失うという欠点を持っている。

ホワイトリスト方式 | 用語集 | KDDI株式会社

用語集でも触れられているように、一般企業や団体の通信規制でホワイトリスト方式を採用するのは難しい。ユーザ部門がどういうネットやサービスを使いたいのか予測しづらいからだ。そのため、一般に端末ごとの管理ソフトと一緒に用いられる。

しかし、中国は基本的に”中国当局が認可したサービスやネット以外は認めない”という立場である。そのため、中国が国内だけで十分にIT産業がやっていけると見込んだそのとき、中国以外のネットにつながらない巨大なローカルネットワークを作る可能性も否定できない。そもそも金盾はそういう発想から来ているプロジェクトなのだから。

金盾とはなにか？-中国とネット規制

中国生活で切っても切れないもの、それは規制 金盾(きんじゅん)とは、中国で国家が政策として運用しているインターネット検閲・規制システムである。中国共産党の体制維持のために、日本では考えられないようなメディア検閲やネット規制がされている。今回...

jcvisa.info

2018.04.19

少なくとも企業を別として、個人を対象に一律禁止はあり得るシナリオである。いずれにしても、来年の2月に何が起きるのか？個人的に楽しみである。