マレーシアのDNS検閲政策はインターネットの自由に対する世界的脅威である
マレーシア通信マルチメディア委員会(MCMC)は今月初め、国内のインターネット・サービス・プロバイダー(ISP)に対し、代替DNSプロバイダーに送信されたDNSクエリーを自社のサーバーにリダイレクトするよう命じ、大きな波紋を呼んでいる。
MCMCは当時、この措置は「有害なコンテンツ」、すなわち「オンライン・ギャンブル、ポルノ、著作権侵害、詐欺、その他のマレーシア法違反に関連するウェブサイト」から国民を守ることを目的としていると述べた。
これ以上先に進む前に、よりわかりやすいよう、DNSとは何か、ウェブのインフラにおけるDNSの役割を思い出して解説したいと思います。
DNSとはDomain Name System(ドメイン・ネーム・システム)の略で、基本的にインターネットの辞書の役割を果たす。
ブラウザにウェブアドレス(例:www.example.com)を入力すると、コンピュータはその人間が読めるアドレスをIPアドレスに変換する必要があります。IPアドレスとは、インターネット上の特定のサーバーを識別するための数値ラベルです。この変換はDNSリゾルバによって行われます。このリゾルバは通常、お使いのISP(インターネットプロバイダ)またはお使いのデバイスに設定されているサードパーティのDNSサービスによって運営されます。
マレーシアの監視機関がISPにDNSクエリをリダイレクトするよう命じたということは、ユーザーが代替DNSプロバイダー(Google DNS、Cloudflare DNS、AdGuard DNSなど)を使おうとすると、そのクエリが遮断され、ISP自身のDNSサーバーにリダイレクトされることを意味します。
これはすべて、表向きは「有害な」ウェブサイトから保護するためであるとされている。
ISPがトラフィックを傍受してリダイレクトするのは簡単か?
技術的な観点からは、ISPはネットワークを通過するDNSトラフィックを制御しているため、このような偉業は可能である。しかし、ここで重要な違いがある。IPv4またはIPv6プロトコルを使用してIPアドレスを返す、暗号化されていないプレーンテキストのDNSサーバーを使用している場合、インターネットプロバイダーはあなたがどのウェブサイトを訪問しているかを見ることができます。つまり、あなたのDNSクエリーとレスポンスは、ネットワーク・トラフィックにアクセスできる人、とりわけあなたのISPによって読み取られ、傍受され、変更される可能性があるということです。歴史的に、DNSトラフィックは暗号化されていないため、ほとんどのユーザーはこのケースに当てはまります。
しかし、暗号化されたDNSプロトコルで送信されるユーザーリクエストに対してISPが同じことを行うのは、はるかに困難なことです。暗号化DNSプロトコルは、まだ主流ではありませんが、非暗号化DNSに内在するプライバシーの問題に対処するため、支持を集めています。これらの暗号化されたリクエストを送信するために、いくつかの安全なプロトコルが使用されている。最も広く採用されているのは、DNS-over-HTTPS(DoH)とDNS-over-TLS(DoT)です。DNS-over-QUIC(DoQ)という新しい最先端のプロトコルもあり、速度と信頼性の点でこの2つよりも優れている。これはまだ採用の初期段階にあり、AdGuard DNSは、これをサポートする最初のパブリックリゾルバです。
暗号化されたDNSサーバーを使用することで、あなたのウェブ履歴がISPの就寝時の読み物になるのを防ぐことができますが、それでもISPはあなたが別のDNSサーバーを使用していることを推測することができます。これは 「ブートストラップ 」と呼ばれるプロセスによるものだ。あなたのデバイスが最初に暗号化されたDNSサーバーを使用しようとすると、まず、従来の暗号化されていないDNSを通してそのサーバーのIPアドレスを解決しなければなりません。ブートストラップと呼ばれるこの最初のステップでは、暗号化されたDNSサーバーのIPアドレスを取得するために、標準の暗号化されていないDNSクエリをISPのDNSサーバーに送信します。これにより、ISPはあなたがISP以外のDNSサーバーを使用している可能性が高いというヒントを得ます。
しかし、このプロセスは明確ではなく、多くの偽陽性が発生する可能性があります。そのため、実装に関しては、ISPが単にトラフィックをリダイレクトするだけにとどまるかどうかはわからない。命令の範囲とその下でのISPの責任に大きく依存するだろう。一見したところ、ISPが暗号化DNSを使用しているユーザーが代替DNSプロバイダーに頼らないようにするには、インターネットから遮断するしかなさそうだが、この解決策は極端に聞こえる。
結論:暗号化DNSを使えば、DNSトラフィックの強制的な迂回から身を守るチャンスが増える。
注文の執行が遅れる:潜在的な問題
MCMCが命令を出してから数日後、その執行は保留された。マレーシアのテオ・ニー・チン通信副大臣は9月9日、当局は命令を進める前にまず業界のリーダーと協議すべきだったと発表した。同副大臣は、具体的なスケジュールは示さなかったものの、今後この協議が行われる予定であることを明らかにした。*MCMCには、適切かつ包括的な協議を行ってもらいたい。もし1ヶ月必要なら、そうしましょう。
もし3ヶ月必要なら、そうしましょう」と彼女は言った。
マレーシア政府によるこの問題への反転は、ISPにMCMCの言いなりになることを強要した後に受けた反発を受けたものである。グーグルやクラウドフレアが運営するパブリックDNSリゾルバを使用している人々がインターネットにアクセスできない問題を抱えているという報告があった。また、正当なコンテンツをホストしていると主張するウェブサイトからの苦情もあり、十字線に引っかかった結果、アクセス不能になった。MCMCは、これらのウェブサイトの所有者に対し、ISPに連絡し、それでもだめならMCMCに直接連絡するよう勧告した。
何が問題だったのか、いくつかのシナリオが考えられる。しかし、その前に重要なことがある。その命令の精神は、自由なウェブの理念とは相反するものであり、それだけでなく、我々のニーズに最も適したサービスを選択する基本的な権利を侵害するものでもある。
有害なコンテンツからユーザーを守る意図はあるかもしれないが、政府にそこまでのコントロールを与えることは危険であり、潜在的な悪用への扉を開くことになる。どのコンテンツを消費し、どのコンテンツをブロックするかは、個々のユーザーが決めることだと我々は確信している。例えば、AdGuard DNSのような無料のパブリックDNSサービスは、ノンフィルタリング、広告ブロック、ファミリープロテクションモードを提供し、ユーザーのオンライン体験を管理するのに役立っている。サービス・プロバイダーではなく、ユーザーが管理すべきなのだ。
大衆の不満とは別に、今回の施行で何が問題になったかについてだが、可能性のひとつは、政府によって承認されたDNSサーバーが、ブラックリストに掲載されたDNSサーバーからリダイレクトされたリクエストによって瞬時に過負荷になったことだ。一見正当なサイトが開かないという誤検知の問題で影響を受けた人もいたかもしれない。
次は何だ?
マレーシア当局はこの決定を見直しのために送ったかもしれないが、振り出しに戻ったわけではない。この案はまだ検討中であり、実施される可能性は十分にある。来週でなくても、今年中にね
MCMCはまた、命令執行の一環としてバーチャル・プライベート・ネットワークを禁止しないとも述べた。VPNが提供する暗号化によって、ISPはユーザーのDNSクエリーやその他のデータを見ることができない。ISPは、ユーザーがVPNに接続していることを検知し、VPNサーバーのIPアドレスを特定することはできるが、VPNを通じて行われたDNSクエリを含むトラフィックの内容にアクセスしたり、変更したりすることはできない。これらのDNSクエリは、VPN自身のDNSサーバーによって処理される。
一見すると、VPNサービスをブロックしないという決定は奇妙に思える。VPNを使用すれば、この命令の効果が損なわれる可能性が高いからだ。考えられる説明のひとつは、当局が規制を回避するためにわざわざVPNを利用する人が多いとは思っていないかもしれないということだ。
VPNをターゲットにしないことで、マレーシア政府はブロックされたコンテンツにアクセスするための抜け道を作っていることになる。しかし、この命令はユーザーのプライバシーとセキュリティにとって懸念すべきものである。ユーザーがアクセスしたドメイン名(google.comやdailymail.com、pornhub.comなど)のリストに、ISPや政府が自由にアクセスできるようになる可能性がある。さらに、暗号化されたDNSユーザーがインターネット・アクセスを遮断されれば、(控えめに言っても)ユーザー・エクスペリエンスやセキュリティが損なわれ、一般的なオンライン・セキュリティ基準も後退することになる。
このような懸念に加え、このような政策は他の国、特に民主的な自由を軽視している国に指図を与える可能性があり、潜在的に危険な前例を作ることになる。コミュニティは、自由なウェブに対するこのような脅威に対して団結し、その不支持を明確にしなければならない。今はマレーシアかもしれないが、次はあなたの国かもしれないのだ。