アマゾンはグーグルの例に倣い、シグナルなどの組織が政府の検閲を回避するために使用する「ドメイン・フロンティング」と呼ばれる慣行を厳しく取り締まった。
Amazon Web Services の定義によると、「ドメイン フロンティングとは、非標準クライアントが特定の名前に TLS/SSL 接続を行い、その後、無関係な名前に対して HTTPS リクエストを行うことです。たとえば、TLS 接続で「www.example.com」に接続したにもかかわらず、「www.example.org」へのリクエストが発行されることがあります。」
そうすることで、Signal のようなアプリケーションが政府の命令によってブロックされた場合でも、ドメイン フロンティングによってそのトラフィックが正当な場所から発信されているように見えるようになります。
「ドメインフロンティングの背後にある考え方は、1つのサイトをブロックするには、インターネットの残りの部分もブロックしなければならないというものでした。結局、インターネットの残りの部分はその計画を快く思っていませんでした」と、Signalの創設者モクシー・マーリンスパイク氏は述べ、時間をかけてこの概念を説明しました。彼の会社は、AWSが先週発表したドメインフロンティング禁止ポリシーの、最初の注目を浴びる標的となりました。
Marlinspike 氏は昨日、Amazon が Signal を AWS から排除すると脅していることも明らかにした。
AWS の投稿では、ドメイン偽装技術は悪意のある目的で利用される可能性があり、セキュリティ上のリスクとなるため、ドメイン フロンティングを好まないと述べています。
Signal に送信されたメッセージによると、問題のドメインは Amazon が所有するものであり、アラブ首長国連邦、エジプト、サウジアラビア、クウェートなどの地域向けのストアフロントである Souk.com です。
Googleがドメインフロンティングを廃止、通信のセキュリティ強化がさらに強化される
続きを読む
メッセージには、AWS CloudFront の利用規約からの引用があります。「Amazon CloudFront と組み合わせて使用するドメイン名または SSL 証明書を使用するには、その使用に必要なすべての権利を所有しているか保持している必要があります。」
SignalはドメインフロントとしてGoogle App Engineを使用していましたが、広告大手のGoogleは4月初旬にこれを禁止しました。この決定を受け、SignalはAWSでも同様のアプローチを繰り返すことになりました。
Marlinspike氏の投稿では、暗号化された接続を確立しようとするだけで検閲官の目をくらませるのに十分だと説明されている。「TLSハンドシェイクでは、ホスト名がSNIヘッダーに平文で含まれるため、対象のホスト名が平文で完全に公開されます。これはTLS 1.3でも変わらず、検閲官が求める情報をすべて提供してしまうのです。」
AWSの非難に対し、マーリンスパイク氏はSignalは誰かを偽装しているわけではないと述べた。「当社の解釈が最終的に重要になるわけではないが、彼らが述べている条件に違反しているとは考えていない。当社のCloudFrontディストリビューションは、自社のドメイン以外のSSL証明書を使用していない」また「当社のクライアントがCloudFrontに接続する際に、トラフィックの発信元を偽装しているわけではない」と述べた。
マーリンスパイク氏は、Signal に残された選択肢については説明しなかったが、たとえ回避策が可能だとしても、Signal には小規模なチームしかないため、すぐには実現しないだろうと警告した。
今のところ、Signal をブロックしたい国は望みを叶えています。®
