中国の検閲用ファイアウォール、ケンブリッジ大研究グループが突破

　ケンブリッジ大学に所属するコンピュータ専門家らが、中国の国家的なファイアウォールを突破し、さらには同ファイアウォールを踏み台にして、国内の特定のインターネットアドレスへサービス拒否（DoS）攻撃を仕掛ける方法までをも発見したと述べている。

　Ciscoのルータを利用するこのファイアウォールは、政治的なイデオロギーや団体など、中国政府によって不適切と判断され、検閲対象になったキーワードを基準に、ウェブトラフィックをふるいにかけるために用いられている。

　ケンブリッジ大の研究チームは、「Falun」という語句を含むデータパケットを送信し、ファイアウォールの性能を検証したという。Falunとは、中国で活動が禁止されている宗教団体「法輪功（Falun Gong）」を意味している。

　その結果、エンドポイントに接続破棄を強制するために中国側のルータが挿入してくる偽のTCPリセットを無視すれば、侵入検知システム（IDS）を回避できることがわかった。

　ケンブリッジ大のコンピュータ研究所に在籍するRichard Clayton氏は、「中国内の機器はデータパケットの送信および受信を許可しているが、特定のキーワードが含まれている通信を検知した場合は、リセットを大量に挿入して接続の中断を図る。だが、コネクションの両エンドポイントですべてのリセットパケットを拒否するようにすれば、ウェブページの転送は問題なく行える。こうした調整は、それほど難しくはない」と話している。

　Clayton氏によると、中国のファイアウォールの特徴を悪用すれば、中国政府自身のものをはじめとする国内の特定のIPアドレスに対して、DoS攻撃を仕掛けることが可能になるという。

　中国のIDSは、従前のリクエスト内容にかかわらず、ファイアウォールを通過する各データパケットを個々に精査するステートレスサーバを用いている。したがって、「慎重な取り扱いを要する」語句を含むパケットの発信元アドレスに手を加えることで、最大1時間程度にわたり、そのアドレスと宛先アドレスとの間の通信をファイアウォールにブロックさせられるようになる。

　そのため、もし、地方自治体のオフィスで使用されているマシンのアドレスが割り出せれば、同マシンが「Windows Update」にアクセスすることを阻止したり、海外の中国大使館が特定の中国のウェブコンテンツを閲覧できないようにしたりすることが可能になるという。

　「ファイアウォールの設計上、党幹部からのパケット1つでウェブアクセスを阻止できる」とClayton氏は述べる。

　ケンブリッジで先週開催の「Sixth Workshop on Privacy Enhancing Technologies」で講演をしたClayton氏は、今回の調査結果がChinese Computer Emergency Response Teamに報告済みであるとも明らかにした。