ISP側でフィルタ掛けて児童ポルノブロッキングをするという話が出てるのだが、INTERNET Watchにも記事が出ていた。
ISP業界が一転、児童ポルノのブロッキング実施に前向きな姿勢を表明 -INTERNET Watch
通信の秘密があるので、こういうのは簡単にはフィルタ出来ないのだが『「緊急避難」としてならば、通信の秘密を侵害しても違法性が阻却されるとの解釈』されるらしい。
で、その手法なのだが『第三者機関が作成・管理するURLリストに基づいて行われる』とのこと。
その第三者機関はだれがどうやって運用するの?というのもあるのだが、それは専門外だから置いとく。
ここではフィルタの手法について。
普通にこの手のフィルタリングを考えるとき、IPでのフィルタにすると思う。というか、それならば簡単。
が、URLでのフィルタだという。
URLでのフィルタとなると、単にIPでのフィルタではないから、HTTPの中身を見ながらフィルタしないといけなくなってしまう。
ということは、普通のスイッチやルータでは対応できないわけで、そういうのが出来るなんらかの機器を導入しなくちゃいけないということになる。
ちょっと具体的にどういうものがあるのか浮かばなかったのだけど、IDSみたいなものという助言をいただいた。
しかもそれは、ISPレベルでの通信負荷に耐えうるだけの機器だ。相当お高いことだろう。
そんなん、地方の小さなISPでもほいほい導入できるもんだろうか?
この記事でも『ブロッキングの導入はISPにとっても負担がかかることから、中小ISPへの公的支援なども検討するよう求めた』とあるように、そういうのがないとちょっと難しいと思う。
じゃあ、実はURLでのフィルタではなくIPでのフィルタだったとする。
それなら今ある機器でも、フィルタの管理の仕方さえ工夫すれば可能だろう。
でも例えば共用サーバとかクラウドとかで運用されてたら、今スパム対策で起きているような、DNSBLによる誤爆と同じような問題が起きてしまうと思う。
つまり、同じレンタルサーバ上に児童ポルノ提供ユーザがいるとか、EC2上で児童ポルノ提供してたユーザがいて、そいつが以前使ってたIPを掴まされた、とか。
このへんのことってどうなってるんだろう??
当事者側なのにぜんぜん知らない…
詳しくご存知の方、教えてください。
(追記)
あれぇ??最初からこのセンテンスあったっけ?
最初読んだときは、完全に見落としてたのかなあ… orz
なお、今回の会合で導入表明を行ったISPであるNTTコミュニケーションズとニフティでは、いくつかあるブロッキング手法のうち、「DNSポイズニング」と呼ばれる手法を検討しているという。これは、ISPの会員から自社のDNSサーバーに対して、遮断リストに含まれるホストについてのクエリーがあった場合に、ダミーのIPアドレスを返すことで該当サイトへのアクセスを遮断する方式だ。トラフィックやパフォーマンスへの影響などを検証するため、試験提供した後、順次全国展開していく流れになる。
というわけで、手法はDNSポイゾニングを利用する模様。
これはホスト名レベルでのフィルタになるため、DNSBLと同様の誤爆が起こる手法。
あと、高木先生がこの件をTwitterでまとめされてたのがあった。
Togetter - まとめ「有害サイトブロッキングに関する総務省の諸問題研究会傍聴記」
そして、高木先生もまったく同様の懸念をされていた。
http://twitter.com/HiromitsuTakagi/status/14243589172
オーバーブロッキングの起きないハイブリッド方式を実現するには高価な装置(ディープ・パケット・インスペクション装置など?)が必要。
http://twitter.com/HiromitsuTakagi/status/14243860380
コスト負担で難あるISPで、DNSポイゾニング方式しか実現できないとなると、激しいオーバーブロッキングが発生するか、さもなくば、ほとんどブロックできないシステムとなることが予想される。
また、おとなり日記でも
と同様の懸念を書かれている方々がいらした。
でここで紹介されていたスラドの意見が非常に参考になった。
コメント: ISP側での児童ポルノサイトへの接続遮断、年度内に実施の見通し - スラッシュドット・ジャパン
すでに出ていますが、遮断の手段として、必要な設備投資が小さいとされるDNSポイズニング方式が有力です。これは、遮断対象ホストのIPアドレスをユーザがDNSで引こうとすると、ISPのDNSサーバがニセのIPアドレスを返答するようにするというものです。ただし、ホスト単位で遮断すると同じホストにある合法コンテンツまで遮断されることから、その嘘のIPアドレスはURL単位でフィルタリングが可能なプロキシサーバにする「ハイブリッド方式」が提案されています。全部のトラフィックをプロキシ経由にしてしまうと、設備投資が大変なので、怪しいトラフィックだけプロキシ経由にするということですね。
しかし、高木センセイもご指摘のように8.8.8.8 を使ったり、自前でDNSフルリゾルバを立てることで、きわめて容易に回避できるわけです。Webブラウザがフルリゾルバの機能を持つようになるかもしれません。
そうなると、おそらくISPのDNSキャッシュポイズニングだけでは不十分ということになり、お上からどうにかしろと言われたISPはユーザにDNSフルリゾルバを使用させないために、ポート53をブロッキングすることになるんだと思います。OB25Pが簡単に普及してしまったことを考えると、十分あり得る展開でしょう。その先はわかりませんが、これ以上の遮断の手段が義務付けられると商売にならないISPが多いのではないかと。
基本的にはDNSポイゾニングでフィルタして、DNSフィルタで引っかかる「怪しい」サーバに対してだけプロクシ経由にさせて詳細に判定するというのが「ハイブリッド方式」。
これは負荷のこと考えると、結構良く考えられてるなと思う。まさにselective greylistingと同じような構図。
OP53Bが来るのか、というのはちょっとわからないけど、このまま進むと確かにありえなくはないな、という感じ。この予測は覚えておこう。
あと、JAIPAのページに手法について詳しい解説が出ていた。
http://www.jaipa.or.jp/other/anshin-net/bloking.pdf
ここに各種手法について詳しく書かれていた。
疑問に思ったら、まずは本家サイトを調べてから、ですね…
