Google はクラウド インフラストラクチャに技術的な変更を加えましたが、これがドメイン フロンティングと呼ばれる検閲対策技術に副次的な損害をもたらしました。
この手法は、サポート対象というよりはむしろ回避策として、GoogleのPaaS(プラットフォーム・アズ・ア・サービス)製品であるApp Engineでここ1年ほどで普及しました。そして今、言論の自由ツールの開発者は、当局の監視を回避するために、他のサービスプロバイダーを探すか、代替戦略を採用せざるを得なくなっています。
ドメイン・フロンティングは、DNSリクエストとTLSネゴシエーションで1つのホスト名を使用し、HTTPヘッダーで別のホスト名を使用することで、ネットワークトラフィックを監視する者からホスト名を隠蔽します。DNSリクエストとClient Helloのホスト名(おそらく政治的に容認可能なサイト)は識別可能ですが、HTTPヘッダーのホスト名(物議を醸すサイト)は、コンテンツ配信ネットワーク(CDN)をプロキシとして使用することで隠蔽されます。
この手法は悪意のある活動を隠すためにも使用でき、侵入テストを実行するセキュリティ研究者の間で人気のツールでもあります。
セキュアメッセージングアプリのSignalは、2016年後半にドメインフロンティングを実装しました。同社は最近、Androidアプリのコードを変更し、Google App Engineではなく、昨年Amazonが買収したSouqのCDNを利用するようにしました。
擁護団体 Access Now によると、Psiphon、Lantern、Telex、Tor、obsf4、ScrambleSuite、meek、meek_lite、Collateral Freedom、GreatFire FreeBrowser など、その他のさまざまなプライバシー重視のツールも影響を受けているという。
Googleの「私たちはジャーナリストだ!」という法廷弁護がいかに「寄生的」で忘れ去られたか
続きを読む
「ドメイン・フロンティングはGoogleではこれまでサポートされた機能ではありませんでしたが、最近までソフトウェアスタックの不具合により動作していました」と、Googleの広報担当者はThe Register宛ての電子メールで説明した。「当社はネットワークを常に進化させており、計画されているソフトウェアアップデートの一環として、ドメイン・フロンティングは動作しなくなりました。今後、この機能を機能として提供する予定はありません。」
チョコレートファクトリーにとって、インフラの変更によって偶然に生じた利益がある。それは、言論の自由に敵対する国々に対する敵意が軽減されるということだ。
例えばロシアは、反対勢力を黙らせるために、GoogleやAmazonといった大手サービスプロバイダーに関連するネットワークアドレスをブロックする姿勢を示してきました。また、マルウェアを有効化することは、検索広告業界にとっても魅力的ではないでしょう。
他のネットワークサービスプロバイダーと比べて、ドメインフロンティングが問題となる可能性があることは明らかです。「Cloudflareはドメインフロンティングをサポートしていません」と、Cloudflareの広報担当者はThe Registerへのメールで述べています。「ドメインフロンティングをサポートすれば、禁止されたトラフィックが従来の顧客ドメインの背後に隠れてしまうため、リスクにさらされることになります。」
Googleのサーバー変更に詳しい情報筋は、その動機は純粋に技術的なものであり、政治的またはセキュリティ上の配慮によるものではないと主張した。つまり、リンクされていたITリソースが分離され、その結果ドメインフロンティングが機能しなくなったのだ。
それでもなお、Access Now は、活動家が隠蔽のために利用したネットワーク トンネルを崩壊させたとして、Google のスタック操作を非難した。
「グーグルは、このブロックが人権活動家やジャーナリスト、そしてオープンなインターネットにアクセスしようと奮闘する他の人々に即時の悪影響を及ぼすことを認識している」とアクセス・ナウの顧問弁護士ピーター・マイセック氏はブログ投稿で述べた。
「責任を放棄し、肩をすくめてこの決定を下すことは、当社の評判を傷つけ、近い将来、オンライン上での信頼をさらに大きく損なうことになります。」®
