先週、Amazon Web Services(AWS)は、APIおよびウェブリクエストにおけるS3ストレージサービスの参照方法を変更する予定であると発表した。しかし、この変更によって、このクラウド大手は検閲回避手段を失ってしまうことになる。
水曜日、AWSチーフエバンジェリストのジェフ・バー氏は改訂版の計画を発表した。当初の通知では詳細が不十分だったことを認めつつも、検閲というデリケートなテーマには触れなかった。とはいえ、今回の変更により、検閲によるサイトブロッキングを回避しつつS3でコンテンツをホスティングする機能は維持される。ただし、対象となるのは既存のS3バケットのみだ。
AWS S3 は、保存されたオブジェクトを参照するための 2 つの方法 (パス スタイルと仮想ホスト スタイル) をサポートしています。
ブラウザを使用してアクセスする場合、パススタイルは次のようになります。
https://s3.amazonaws.com/<バケット名>/<オブジェクトキー名>
仮想ホスト スタイルは次のようになります。
https://<バケット名>.s3.amazonaws.com/<オブジェクトキー名>
計画では、2020 年 9 月 30 日にパス形式の参照を削除し、その過程で S3 パス形式のリンクをすべて切断し、検閲からの避難所としてのシステムの使用を妨げることになっていました。
仮想ホスト型のサブドメインをブロックするのは、そのアカウントにのみ影響するため簡単です。暗号化されたSNI、TLS 1.3、DNSSEC、DoT/DoHといった進化するWeb標準が、最終的には役立つかもしれません。
パス型アドレス指定を利用してS3でホストされているリソースをブロックするのは、検閲者がAWS S3のコンテンツ全体、あるいはリージョン型アドレス指定が使用されている場合はリージョン型S3のコンテンツ全体をブロックする必要があるため、より困難です。これは企業に付随的な損害をもたらし、中国のような国ではその代償は(必ずしもそうとは限らないものの)過大になることが多いです。したがって、この手法は「付随的自由」という包括的な用語に当てはまります。
AWS S3は、ブロックするには規模が大きすぎるため、利用されている唯一のサービスではありません。昨年マイクロソフト傘下となったGitHubも、長年同様の役割を果たしてきました。
反発
Amazonの計画が広まると、非難の声が相次いだ。「これはロシア、中国、そしてインターネットを検閲している他の国々にとって有利になるだろう」と、ラトビアのリガに拠点を置くビデオゲームデータベースRAWGのCTO、サマット・ガリモフ氏はTwitterで述べた。
パス型アクセスは検閲を回避するために使われます。ウェブサイト全体を[S3サブドメイン]の下に置けば、ロシアや中国でそれをブロックする唯一の方法は、Amazon全体をブロックすることになるでしょう。この手法は「コラテラル・フリーダム」と呼ばれ、現在も活発に使われています。ぜひこの仕組みを今後も活用してください!
ガリモフ氏はインスタントメッセージで、「S3が検閲対策に利用されていることは、彼らが認識しているはずです。Signalは検閲を回避するためにAWSのインフラを利用していましたが、Amazonはそれを明確に禁止していました」と述べた。
深呼吸しましょう。AWSは、より安価なインスタンス、氷河のように遅いストレージ、そしてAIコンテナツールを導入しました。
続きを読む
ガリモフ氏が言及しているのはドメインフロンティングと呼ばれる行為で、AmazonとGoogleの両社はこれを廃止しているが、これは表向きはポリシー違反であり、意図しない技術的な抜け穴を悪用する行為だからだという。
レジスター紙はAmazonに対し、パス型アクセスの検閲対策としての利用について認識しているか、またコメントを希望するかを尋ねたが、回答は得られていない。
Barr 氏はブログで S3 の検閲回避機能については触れていませんが、2020 年 9 月 30 日以前に作成されたバケットについてはパス スタイル モデルのサポートが継続されると述べています。ただし、それ以降に作成された S3 バケットでは、ブロックされやすい仮想ホスト スタイルを使用する必要があります。
「政府によるインターネット検閲を実際に経験し、こうした決定を下す人は一人もいないはずだ」とガリモフ氏は語った。
「意思決定を行う側近でさえも、その側近に助言する人々でさえもです。これらの意思決定者は、中世の王のように、自分たちの『支持層』から孤立しています。同時に、彼らの真の支持層は株主であり、私たちは単なる『利用者』であることも理解しています。本当に悲しいことです。」®
