どさにっき(アナログ) 〜2010年6月上旬〜

by やまや
<< = >>

2010年6月7日(月)

通信の秘密の破りかた。

_ 日本では通信の秘密が保証されているけど、通信当事者の同意があれば、その通信内容を覗き見してもいいと解釈されてるよ。

_ たとえば、ISP による電子メールのウィルスチェック/スパムフィルタ。あれは、ユーザがそれを望んでいることが明白だから(だって自分でオプション契約を申し込んだよね)、通信の秘密が侵害されたわけじゃない、という扱いだよ。正当業務行為とか、緊急避難とかじゃなくて、当事者による同意が違法性の阻却理由。同意を得る手続きなしで勝手にウィルスチェックしてたら(感染しなくてありがたいかもしれないけど)違法だよ。ところで、gmail のウィルスチェックとかスパムフィルタって同意した記憶ないんだけどあれどうなってんのかね。日本向けに日本語でサービスしてて日本法人もあるけど海外企業だから日本の法律は適用外なんかね。

_ でも、メールってひとりでやるわけじゃないよね。相手がいるよね。ウィルスチェックしていいよ、と自分は同意したけど、メールをやりとりする相手は同意したんかな。自分とは違う ISP を使ってる人が自分の ISP と契約するのってなんかおかしいよね。実は、通信当事者の双方ではなく、「一方」が同意していればやっちゃっていい、ということになってるんだよね。だから自分が同意してれば相手が同意してなくてもおっけー。おれのメールを疑ってわけわかんねーフィルタに通すんじゃねーよ、やめろよ、とか思ってても、相手がそれじゃイヤ、ちゃんと安心できないからやっていいよ、と意思表示していれば ISP がウィルスチェックしちゃってかまわない。

_ 逆に言えば、自分は通信の秘密が守られないことに同意していなくても、相手が同意していれば、秘密なんてものはなくなるわけだ。

_ ということで、最近降って湧いてきたように出てきたでぃーぷぱけっといんすぺくしょんというキーワード。biglobe とか nifty とか、導入に積極的な ISP が一部で挙がってるようなんだけど、それがイヤだからじゃあ ISP を乗り換えようか、という気の早い人たちもいるようで。でもね、考えてみよう。当事者の一方さえ同意していれば通信の秘密なんぞないも同然。つまり、自分が同意していなくても、通信相手が DPI に同意していれば、自分ではナイショ話のつもりだったのに他人にダダ漏れという可能性もあるわけだ。

_ で、ISP ってのは個人向けのものだけでなく、法人向けの ISP もあるわけだ。怖いのは法人向け ISP とかレン鯖事業者だよ。DPI に同意したら回線料金引き下げるよー、とかいうのにホイホイのっかってしまうサイトがあると、こっちが同意してないのに自分のアクセスした情報がどっかの広告屋に流れちゃうかもしれない。別のサイトにアクセスしたら、いつのまにかその広告屋の中ではあっちのサイトとこっちのサイトにアクセスした自分の情報が結びつけられちゃったりするかもしれない。同意してないのに。そして、収集されちゃってることを知る手段が、ない。個人情報保護法? 個人情報を収集してないサイトなのであればまったく関係ないよね。情報を収集しているのは DPI に同意したサイト自身じゃなくて広告屋だし。

_ SSL で暗号化すれば DPI でも漏れないよ、とか言ってる人いるけど、不十分。通信の秘密で守られるべきは、通信の内容だけでなく、通信の有無そのものも含まれるので。SSL では A と B がどんな通信をしたかは暗号化できるけど、A と B がなんらかの通信をおこなっていたという事実までは隠匿できない。通信の秘密は、この「A と B がなんらかの通信をおこなっていた」という事実さえも秘密にすることを要求している。で、その程度のことならばぜんぜん deep じゃない packet inspection でも可能。暗号化されててよくわかんないけど主にほげほげなコンテンツを置いてるところにアクセスしてんだからほげほげな趣味な持ち主なんだろう、ということぐらいはかんたんに想像できちゃう。

_ つーことで、通信の秘密なんてのは当事者の「一方」のみの同意でかんたんに破られうるもろいものなんで、自分の契約してる ISP が DPI に否定的だから大丈夫なんて思ってちゃ甘いですよ、と。

_ あ、あと、わかってると思うけど、よその国も日本と同等に通信の秘密を保証してるとは限らんことは頭に入れておこう。中国の金盾は広告目的ではないけど DPI 以外のナニモノでもないし。今回の話が日本ではやっぱりダメという方向にまとまったとしても、海外サイト経由で情報を盗まれる可能性はあるので注意しておこう(って、知る手段がないのにどうやって注意すればいいの?)


2010年6月8日(火)

Norton DNS Public Beta

_ opendns とか google とかに続いて、symantec も野良 DNS をやるようで。ってゆーかやっぱりノートン先生なのね。198.153.192.1 と 198.153.194.1 だそうな。さすがに 8.8.8.8 のようにはいかんか。

_ つーことで、ちょと試してみる。

% dig +short @198.153.192.1 chaos txt version.bind 
"unbound 1.3.4"
……まさかちゃんと答をよこしてくれるとは思わなかった。まあ、詐称してる可能性もないではないけど。つーことで、google みたいに自前開発したものではなく、unbound (のちょっと古めのバージョン)を使ってるらしい。あやしいサイトを聞くと偽応答を返してシマンテックのサイトに誘導するみたいなことをやってるようなので、どっか改造されてる可能性は十分ありうる(無改造の unbound でもできなくはないが、めんどくさい)。

_ もいっちょ。

% dig +short @198.153.192.1 chaos txt hostname.bind
"ig-01-hkg.dyndns.com"
あ、こっちも答えた。なぜか dyndns。もしかして symantec が自前で動かしてるんじゃなくて、運用を外部に丸投げしてるだけ? 調べてみると、この IP アドレスは AS33517 で、AS33517 は こんな感じ。つーことで、実体が dyndns.com であるのは間違いないね。なんだつまらん。

_ google public dns に対するメリット。198.153.194.1 の方は、日本からの RTT が小さい。うちからだと 12-16ms くらい。google dns より 30ms 小さい。たぶん東京都内に設置してある。つーことで、こっちの方だけを使うようにしておけば、google dns を使うよりも圧倒的に速い(198.153.192.1 の方は 65ms 以上あるんで使っても不幸になるだけ)。とはいえ、わざわざこんなのを使わなくても、まともな ISP が提供している DNS ならばこのぐらいのレイテンシで応答を返してくれるのがあたりまえなので、速さだけでいえば google dns に対するメリットにはなっても ISP 提供の DNS に対するメリットにはならん。

_ あとは、危険なサイトへのアクセスをブロックしてくれる機能をありがたく思うかよけいなお節介と感じるかどうかかな。マルウェアを仕込んでるようなサイトだけでなく、どうやらエロサイトその他もブロック対象みたいだし。厳密な話をすれば DNSSEC が台無しになるんだけど、アクセスさせないための DNS であれば DNSSEC の検証ができなくなってもそれはそれでとくに問題ないといえなくもない。あと、from: エロサイトな spam へのバウンスを返したら norton dns のサーバに吸い込まれる、という現象も発生しそうだが、試してみたら SMTP のポートは空いてなかったのでそのへんは気にしなくてよさげ。

_ 児ポを止めるとかどうのとかいう議論において、一部 ISP の考えは、もしどうしてもやるのであれば DNS で止めたい、ということらしい。まあ、ラクだし、納得はできる。が、それやっても、こういう野良 DNS を使ってるユーザには何の効果もないんだよね。つーことで、それの実効性を高めるための手法が実施されるのではないかという懸念が。つまり、OP53B。もし実施されると、このような norton dns や google dns などの野良 DNS サービスは一切使えなくなるどころか、自前 DNS も動かせなくなる。まあ、警察はこれじゃ不十分だと言ってるようなんで実際どうなるのかしらんけど。ISP は土管じゃいられないのかね。


<< = >>
やまや