グレート・ファイアウォール

グレート・ファイアウォール（英語: Great Firewall、中国語: 防火长城〈ファングォチャンチョン〉）は、香港とマカオを除く中華人民共和国本土（大陸地区）のインターネットを覆う大規模情報検閲システムとその関連行政機関（中国サイバースペース管理局（英語版））の通称である^[1][2]。略称は、GFW。

グレート・ファイアウォール
繁体字	防火長城
簡体字	防火长城
発音記号 標準中国語 漢語拼音 Fánghuǒ Chángchéng
英語
英語	Great Firewall

1998年に運用を開始した。英語名の由来は、オーストラリアの中国学者ゲルミー・バロメ（英語版）が1997年6月1日に発表した、中国のネット検閲に関する論文「The Great Firewall of China」^[3]に記された「The Great Wall（万里の長城）」と「Fire Wall（ファイアウォール）」を合わせたもの。

この記事では原則「GFW」と表記する。

GFWは一般的に中国国内のみ影響すると思われていたが、近年^[いつ?]、国外にいる中国携帯キャリアの使用者（観光客など）でも、国内同様で閲覧できないサイトがある現象も生じた。

概要

中華人民共和国国内外で行われるインターネット通信に対して監視するだけでなく、接続規制・遮断も行う大規模なネット検閲システムである。ウェブサーバーへの接続の規制において、検閲対象用語を基に遮断を行なうのが特徴である。当初は10万人から200万人ともされるインターネットポリス（網警）やネット秘密警察（世論分析官）などで人海戦術を用いており^[4][5][6]、このサイバー警察は「網警巡査執法」という公式サイトも全国50省・直轄市のソーシャル・ネットワーキング・サービス（微博や微信など）に設けて24時間体制でネット監視・パトロールを行っていたが^[7]、後に画像認識や音声認識を駆使して自動的に検閲する人工知能と機械学習も利用されるようになった^{[8][9][10][11]}。これは、例えばコンピューターのIPアドレスごとに履歴やオンライン上の言動を解析し、ユーザー各人の政治的傾向を分析したり、サーチエンジンで「チベット」という単語を単体で調べても問題がなかったとしても、「チベット」を調べた後に「人権」を調べようとすると遮断するといった事例がありうる、と産経新聞で報道された。検索の初期には表示されていても、問題ある語彙での検索を繰り返していると表示されなくなる場合もある。

2006年5月からは、中国から日本国内のPOP3サーバーへの接続の遮断（電子メールを受信することができなくなる）も行われ、日本企業の駐在員など、外国人にも影響が及んだ。

こうしたネット検閲システムを回避するソフトもいくつか存在するが、中国当局もかねてから厳しい摘発と検閲回避対策技術の開発を取り込んでいる結果、2019年現在は回避することはかなり難しくなっている。

また、通信内容を暗号化されると検閲が非常に困難になるため、中国政府は暗号化通信を許可なく行うことを禁止している。このため、例えばSSH・HTTPSや、海外版Skype（中国国内版Skypeには検閲機能が内蔵されている^[12]）などの暗号化通信を行なうソフトウェアーを利用した場合には、通信を遮断する場合があるほか、直接ユーザーに対して警告するケースもある。

検閲の結果、アクセスを遮断した場合、その結果を503や404のようなHTTPステータスコードを返す機能を持っており、ユーザーに対して国による意図的な検閲が行われたことを直接気付かれないようにする仕様になっている。

アムネスティインターナショナルによると、中国ではネットの検閲と監視で投獄されているサイバー反体制派（英語版）が世界で一番多く^[13]、国境なき記者団は中国を「世界最大のネチズン刑務所」と呼んでおり^[14][15]、このシステムは検閲以外にも効果を発揮し、中国はサイバー主権（英語版）を謳い、^[16][17]、自国のIT企業（BAT、BATH）を育てる非関税障壁として外国企業から市場を保護（ガラパゴス化）することに成功した^[18][19][20]。

方浜興

中国当局はGFWの存在そのものについて、一度でも公式発表したことはない、中国外交部が行う記者会見でインターネット検閲関連の質問を受けた時は「中国政府はインターネットの発展を支持し、インターネットにおける言論の自由を含めて、国民の表現の自由を法によって保障される。同時に、中国はインターネットに対して法によって管理を行い、国際社会の慣習にも準拠している。」のような回答しか為されない。「グレート・ファイアーウォールの父」^[21][22]と呼ばれる方浜興はインタービューでGFWの仕組みについての質問を受けた時「国家機密」と答えた。GFWの検閲システムは欧州のベラルーシと中南米のキューバ^[23]、さらにアジアや中東アフリカなど海外の非民主的で権威主義的な国家にも輸出されているとされ^[24][25]、ロシアは方浜興も招いて積極的にGFWの検閲技術を取り入れている^{[26][27][28][29][30]}。

開発

GFWの開発費は、60億人民元（日本円にして約743億円）。金盾計画全体では64億人民元（約800億円）にもおよぶ^[31]。

このシステムの開発、運用には多くの多国籍企業が関わったとされる。Cisco（シスコ）、モトローラ、オラクル（当時はサン・マイクロシステムズ）、アルカテル（当時はノーテルネットワークス）、Oath（オース）（当時はAOL）、マカフィー（当時はネットワークアソシエイツ）、マイクロソフトなどアメリカ国家安全保障局（NSA）と関係の深いアメリカ合衆国のIT大手企業の名前が挙がっており、米国内でも問題にされていた^[32]。元NSAのエドワード・スノーデンは完全なインターネット通信の監視システムを構築している中国政府を調査した際に米国政府も同様にインターネット通信の傍受を行っていたことを知ったことが国際的監視網の告発のきっかけになったとしている^[33][34]。

ブロッキング技術

概要

GFWはIPアドレスがルーティングされないことでコンテンツをブロックする。ファイアーウォールとプロキシーサーバーで構成されている。また、特定のサイトがリクエストされた際にDNSスプーフィングをブラックリスト方式で行う事ができる上、政府が体系的にインターネット検閲に関与していないように回線故障に見せかける^[35] 。カリフォルニア大学およびニューメキシコ大学の研究者は、禁止されたコンテンツがブロックされずに複数のルーターまたはシステム全体を通過できる場合があるため、検閲システムは本当のファイアーウォールではないと述べた^[36]。検閲に一般的に使用されるいくつかの技術の詳細は以下のとおり^[37]。

IP範囲ブロック ブラックホール

GFW はあるIP範囲リストを保持し、定期的にメンテナンスしている。この範囲にあるIPアドレス宛のトラフィックパケットは発信者に通知することなく廃棄される（ブラックホール化）。 プロバイダーによってパケット廃棄の表現は差異が見られるが^[38]、共通するのはMPLSノードを通過するとパケットがドロップされることである。これは、中国国内のバックボーンで集中的に運用されている。このブロックリストはLDPを使用してメンテされる可能性が高いことが示唆されている。

このIP範囲ブロックリストは Facebook、Twitter や Dropbox ASNなどサイトが含まれている。膨大の量でかつ日々更新が必要なブロックリストを維持することの複雑さと、CDNを使用するインターネットサービスには対処しにくいことが証明されているため、通常は最後の手段として使用され、他のブロッキング方法が優先的に使用される。（QoSに基づくブロッキングなど）。

IPアドレスによる封鎖はVPN以外の回避手段が殆どなく、一番レベルが高い封鎖手段であり、中国にとって余程の都合が悪いサイトに限って使用されると考えられている。

DNSスプーフィング, フィルタリングとリダイレクト

GFWのDNS汚染により中国語版Wikipedia (zh.wikipedia.org) のDNS応答がTwitterのIPアドレスに書き換えられている。

GFWの一部である詐欺DNSサーバーはDNSハイジャックで間違ったIPアドレスを返す^[39] 。

いくつかの研究はこのフィルタリングはキーワードに基づくものと示した。^[40]

検閲システムはおそらく2つのリストを維持している：禁止するドメイン名のブラックリストと、許可するドメイン名のホワイトリスト。 ワイルドカード"${\displaystyle *}$"を使用する可能性もある。

禁止されているWebサイトの例には、「greatfire.org」または「*falungong*」、ホワイトリストに登録されたWebサイトの例には「developer.android.google.cn」がある。キーワードブラックリスト/ホワイトリストは複数の中国インターネットプロバイターで共有しされて、集権的に管理されていると考えられている。

外国のDNSサーバー（Google Public DNS / 8.8.8.8 など）は中国国内で正しく機能している^[41][42]が、これらのDNSサーバーもハイジャックの対象となる。すべてのDNSリクエストはDNSサーバーに到達するが、要求が禁止キーワードに一致すると、GFWは偽のDNS応答を入れて、正確なDNSサーバーが応答する前に誤った応答を行う。

2015年から、ブラックホールの範囲内でブロックされるドメインへのアクセスリクエストはランダムのIPアドレスが返される^[43]

典型的な回避方法はHosts ファイルを修正する、Webブラウザーでドメイン名の代わりにIPアドレスを入力する、DNS over TLS / HTTPSを使用などがある。

透過プロキシによるURLフィルタリング

GFWでは、Webトラフィックをフィルタリングする透過プロキシーが作動している。これらのプロキシーは、リクエストされたURI、 "Host"ヘッダー、およびWebページのコンテンツ（HTTPリクエスト、またはServer Name Indication HTTPSリクエストの場合）をスキャンしてキーワードを探す。^[44]

HTTPリクエストのPOSTデータを検閲できない、不正なHTTPリクエストを検閲できないなど、これらのプロキシーに複数の制限があることが調査により判明している。^[45]

また、webSocketのような新しいプロトコルも同様である。

DNSフィルタリングと類似、この方法もキーワードに基づいて作動している。封鎖キーワードはずっと同じものではなく、2019年では、透過プロキシーを使って wikipedia.org へのアクセスはブロックされた。

サーバー名表示の暗号化はこのフィルタリング方法をするためにも使用でき、 IETFによって現在開発中である。^[46]

QoSフィルタリング

2012年以降、GFWは機械学習を使用して、トラフィックの特徴に基づいて「学習・フィルタリング・ブロック」することが可能となった。^[47]

この技術は最初からVPNをブロックするために開発されたもので、すでにGFWのシステムの標準機能の一部になっている。GFWが持つ全部のトラフィック分析用ユニットをミラーリングで機能する（ネットワークタップを使用）。分析ユニットは、各宛先IP毎に、接続がどれくらい疑わしいかを表す点数に算出している。この点数によって、パケットを廃棄したり、接続を遅くしたりする。トラフィックを極端に遅くすることにより、クライアント側でタイムアウトになるため、効果的にブロックすることができる。

GFWの分析システムは、サイドチャネル（パケットのサイズなど）を使用して、接続が疑わしいかどうかを推定していると考えられている^[48]。トラフィックパターン（SSHトンネリング、VPN、Torなどのプロトコル）を検出し、暗号化されたトラフィック（SSLトンネルを介したHTTPSなど）のパケットの情報量を測定することができる。

このシステムは機能するために人間の操作を必要とせず、DNSフィルタリングおよびプロキシーシステムとは完全に分離されている。

パケット偽装とTCPリセット攻撃

Server Name に中国語版Wikipedia (zh.wikipedia.org) が含まれているため、GFWから大量のTCPリセットパケットが送付されている。

このブロッキングに遭遇した時、ウェブサイトが読み込み始めには見えるのに、すぐに「接続がリセットされました」などのエラーに変わる。

GFWは、パケット偽装を使ってTCP送信を任意に終了させることができる。ブロッキングはTCPリセット攻撃を使って行う。この攻撃はTCP要求もTCP応答もブロックしないが、悪意のあるTCP RSTパケットをリクエスト元に送信し、接続の終わりをシミュレートする。サイドチャネル分析は、TCPリセットがQoSフィルタリングルーターと共存、または共有されている構造から来ているようである^[49]。

この構造はスコアリングシステムを更新し、以前のTCP接続がフィルタによってブロックされている場合、両側からの将来の接続試行も短期間（最大数時間）ブロックされる可能性がある。効率的な回避方法は、ファイアーウォールによって送信されたリセットパケットを無視することである^[50]。これを目的としたFreeBSD用のパッチが開発された^[51]。

TLS経由の中間者攻撃

中国のサイバーセキュリティ法によって、理論上中国の政府機関は中国の任意の認証局にルート証明書を請求と使用することできる。^[52]例えばCNNICのようにMITM攻撃を仕掛けられる。法律が制定される前の過去10年間にも、複数の事件が発生した。

• 2013年1月26日、GFWによりGitHub SSL証明書が中国のセルフ署名証明書に置き換えられた^[53]。
• 2014年10月20日、中国のiCloud SSL証明書がセルフ署名証明書に置き換えられた^[54] 。中国政府がAppleデバイスの脆弱性を発見し、それを悪用していたと考えられている^[55]。
• 2015年3月20日、GoogleはCNNICが作成したエジプトで署名したGoogleの有効な証明書を検出した。

これらのことを受け、CNNIC証明書は一部のブラウザーで削除された^[56]。実証された不正がある証明書のみが削除されるので、他の中国の認証局がWebブラウザーから削除されたことはなく、その後追加されたものもある。^[57]

この種の攻撃は、Certificate Transparency（証明書の透明性）^[58]を実装するWebサイトによって回避されることがある。

主動探測

上記技術はすべて防御性的にアクセスを遮断を実現する方法であるが、これはGFWが主動的に特定のサーバーへアクセスし、GFW回避するためのソフトウェアーが作動しているかどうかを探知する。^[59]

IPブロッキング、特にTLS/SSLおよびTorのブロッキングを容易にするために、中国国内の未知のエンティティから米国内のコンピュータへの故意なTCP/IP接続したことも報告されている。^[60]

ハードウェア構成

GFWは分散型侵入検知システム、数百台の曙光4000Lのスーパーコンピュータ（価格は約2000万から3000万人民元）によって構成されている^[61]。GFWは曙光4000Lのメインの供給先は、研究者、クライアント、株主、共同開発者である。

• GFW（北京）384ノード、その中24個サービスとデータベースノード、360個の計算ノード、16台の曙光4000L、OSはRed Hatシリーズ（7.2、7.3、AS 4）を使用。
• GFW（上海）128ノード、Beowulfを使用
• GFW実験室（ハルビン工業大学）64ノード、曙光、Red Hat OSを使用

他には広州、長沙にもGFWが存在している。これらのスーパーコンピュータは100Gbps回線で連結され、計6144ノード、12288個のCPU、12.288TBのRAM、ピーク演算能力は48TFLOPS。計算速度は極めて速く、GFW（北京）の総スループットは512Gbps以上ある。ノードは独立作動できるし、連結計算もできる。中国にある9個インターネット国際ゲートウェイには全てGFWが配置された。Cisco（シスコ）をはじめ海外のハイテク企業はGFWに大量のハードウェアと技術サポートを提供していた。

2019年6月に米中貿易戦争を受け、アメリカ合衆国商務省産業安全保障局はTOP500ベンダー3位の曙光をはじめとする中国でスーパーコンピュータを開発する5団体への米国製品の輸出をエンティティ・リストによって禁止した^[62]。

GFWの突破・回避手段、および当局の対抗技術

突破・回避手段

GFWを回避あるいは通過して、禁止または制限しているインターネット上の情報にアクセスする手段があり^[63]、中国語で「翻墻」または「破網」と呼ばれる。プロキシー技術、VPNネットワーク、P2P技術、HTTPSとTorを単体または組み合わせて利用したものなど、複数の手法やソフトウェアーが存在している。

しかし、中国当局は検閲回避対抗技術の開発に継続して取り込んでおり、殆どの回避手段（GFW初期では有効だったプロキシーや、一般的に熟知されたVPN）は安定して使えないのが現状である。

VPNに対する検閲技術

2015年1月：一部VPNサービス（L2TP/IPSec、PPTP方式）は中国で正常に動作しなくなる

2018年9月：一般的なVPNサービス（L2TP/IPSec、PPTP方式）への規制、遮断が常態化。^[64]

トラフィック暗号化ソフトに対する検閲技術

GFWは暗号化トラフィックパケットを抽出、特徴分析することで、VPNの暗号化トラフィックを正確に識別でき、進んで封鎖を行う。すでにGFWに対する調査で、畳み込みニューラルネットワークを利用してShadowsocksトラフィックに対しての検知ができることが分かった。

IPv6に対する検閲技術

Torに対する検閲技術

インターネット国際通信への間歇性封鎖

ディープ・パケット・インスペクション

サイバー攻撃

→詳細は「グレート・キャノン」を参照

インターネットの完全遮断

2009年7月6日から2010年5月13日の約一年の間、2009年ウイグル騒乱の影響により、新疆ウイグル自治区内のインターネットが完全に遮断された^{[65][66][67][25]}。

国際影響

世界の13のルートDNSサーバー（Root Server）について、中国にはF、I、Jの3つのミラーサーバーがあるが、外国インターネットに影響及ぶ度重ねるDNSスプーフィングでインターネットセキュリティと自由に対する脅威になっていることを理由に、2010年には北京の「I」ルートDNSサーバーは国際インターネットから切断された（現在は復帰している）。

2002年頃から、中国のインターネット検閲当局は、DNSサーバーキャッシュスプーフィング技術を利用を開始した。複数のIPアドレスを含むドメイン名、またはブロックを回避するために頻繁にIPアドレスを変更するドメイン名の場合、このメソッドによってブロックされる。国内から国内、国内から国外はもちろん、国外から国内のドメイン名照会要求もスプーフィングされる。

2010年3月に、米国とチリの人々は facebook.com や youtube.com や twitter.com などの人気のソーシャル・ネットワーキング・サイトなどのサイトにアクセスしようとすると、ドメイン名の解析処理リクエストが中国が管理するDNSルートミラーサーバーに転送された。これらのウェブサイトは中国でブロックされ、結果のユーザーは誤ったDNS結果データを受信した。これはGFWのDNSスプーフィングが国際インターネットに影響したことを意味する。

2010年4月8日、中国本土の小さなISPの誤ったルーティングデータ、中国電信(China Telecom)の転送による国際インターネット全体に広がり、AT＆T（アメリカ）、Level3（アメリカ）、Deutsche Telekom（ドイツ）、Qwest（アメリカ）、Telefonica（スペイン）を含む多数の国に影響を及んだ。