QUIC(高速UDPインターネット接続)を使用して伝送されるトラフィックを検閲しようとする中国の試みは不完全であり、検閲装置を劣化させる攻撃や、海外のDNSリゾルバへのアクセスを遮断する攻撃のリスクに国がさらされている。
これらの発見は、マサチューセッツ大学アマースト校、スタンフォード大学、コロラド大学ボルダー校、そして活動家団体「グレート・ファイアウォール・レポート」の研究者らが先週執筆した論文で明らかになった。「中国のグレート・ファイアウォールにおけるSNIベースのQUIC検閲の暴露と回避」と題されたこの論文は、来週開催されるUSENIXセキュリティシンポジウムで発表される予定だ。
QUICの導入を急がないでください。TCPよりも高速にするのは大変な作業です。
続きを読む
QUICは、トランスポート層ネットワークプロトコルであり、トランスポート制御プロトコル(TCP)の代わりにユーザーデータグラムプロトコル(UDP)を使用します。Googleのネットワーク専門家によって発明されたこのプロトコルは、クライアントとサーバー間のデータ交換をTCPリンクの確立に必要な往復回数よりも少なくできるため、後に標準となりました。インターネット測定の専門家は、ウェブサイトの少なくとも10%がQUICを使用していると考えています。その中には、MetaやGoogleが提供する多くのサービスも含まれています。
中国はグレートファイアウォール(GFW)を使用して両社のサイトをブロックしているため、QUIC のアップグレードは、その広範囲にわたる検閲体制の賢明な拡張です。
研究者らは「トレースルートのような測定法を用いて、QUIC検閲を行うデバイスが既存のGFWデバイスと同じホップに共存していることを示し、共有インフラストラクチャを使用しているか、同様の管理を行っている可能性があることを示した」。
著者らは、中国のグレートファイアウォールの運営者が2024年4月から特定のドメインへのQUIC接続をブロックし始めたが、無差別にそれを行っているようだと指摘している。
「GFWのQUICブロックリストは、中国でTLS、HTTP、DNS検閲に使用されているブロックリストとは大きく異なります」と論文は述べています。「特に、QUICブロックリストはドメイン数でDNSブロックリストの約60%を占めています。驚くべきことに、これらのドメインの多くはQUICをサポートしておらず、なぜこれらのドメインがQUIC専用の検閲リストに掲載されたのかは不明です。」
研究者らはまた、GFW が標準で定められた要件を満たさない QUIC ペイロードを処理しようとする「解析の特異性」にも気づいた。つまり、禁止された Web サイトにアクセスしようとしているわけではない可能性のあるパケットを処理しようとして時間を無駄にしているのだ。
- ウォールブリード脆弱性により、中国のグレートファイアウォールの秘密が125バイトずつ明らかに
- 中国は米国のインフラへのサイバー攻撃を指揮したことを認めたと報じられている
- 中国、衛星ブロードバンドのリアルタイム検閲を要求
- パキスタンのインターネット速度が不快なレベルまで低下、中国式の新しいファイアウォールが原因とされる
この論文では、中国がすべてのQUICトラフィックをブロックすることはできないこと、そして検閲の成功率が時間帯によって変動することも明らかにされた。
研究者らは、北京、上海、広州の各都市でQUICブロックをテストした結果、「3都市すべてで明確な日周パターンが見られ、ブロック率は早朝にピークに達し、日中は最低レベルにまで低下している」ことを発見した。
ブロック率は中国のインターネット利用パターンに影響される
「このパターンは、ブロック率が中国におけるインターネットの使用パターンに影響を受けており、ネットワークトラフィックが少ない期間に最も高いブロック率が観測されていることを示唆しています。」
QUIC の設計がこうした変動の原因の 1 つである可能性があります。
論文では、「QUICは、宛先サーバー名が平文で送信されるTLSとは異なり、すべてのパケットを暗号化します。QUICでは、最初のハンドシェイクメッセージであるQUICクライアントInitialでさえも暗号化されますが、その鍵は受動的なネットワーク監視者によって導出可能です。」と説明されています。
「これは、サーバー名表示(SNI)フィールドに基づいてQUIC接続をブロックしたい検閲者が、宛先サイトを明らかにするために、すべてのQUIC接続の最初のパケットを復号化する必要があることを意味します。」
「QUICの初期パケットを復号化する運用コストは規模が大きいほど大きくなり、ブロック率は日中に変化するネットワーク負荷に敏感になる」と論文は指摘している。
QUICの初期パケット処理におけるこれらの問題を受けて、論文の著者らは、GFWにQUICパケットを送信することで中国の検閲能力を意図的に低下させることが可能かどうかを検討しました。中国のインターネットを混乱させない実験を慎重に設計した結果、研究者らは、中国国外からGFWのQUIC抑制インフラを低下させることが可能であると結論付けました。
DNS DoS
研究者らはまた、GFWのQUICブロッキングが「可用性攻撃」を開始する新たな手段を提供していることを発見した。これは、検閲機構を意図的に起動させる攻撃の一種である。論文では、検閲システムは数分後にトラフィックブロックを解除することが多いと説明されている。可用性攻撃では、攻撃者は意図的に偽装パケットを追加送信することで、検閲を持続させる。
著者らは、QUIC ブロッキング メカニズムが可用性攻撃の影響を受けやすく、「中国国外のすべてのオープン DNS リゾルバーまたはルート DNS リゾルバーが中国国内からアクセスできないようにブロックし、中国国内で広範囲にわたる DNS 障害を引き起こす可能性がある」ことを発見しました。
検閲者がQUICで標的を絞ったブロックを適用できるようにするには、慎重なエンジニアリングが必要となる。
「ステートレスな性質とUDPパケットの偽装の容易さのため、検閲を行いながらこの攻撃を防御することは困難です」と論文は述べている。「検閲者がQUICで標的を絞ったブロックを適用できるようにしつつ、同時に可用性攻撃を防ぐには、慎重なエンジニアリングが必要となるでしょう。」
研究者たちは、自分たちの研究が中国のインターネットと国民に害を及ぼす可能性があることを懸念し、2025年1月に中国当局に研究内容を開示した。3月に、著者らはGFWの行動に変化が見られるのを観察した。
論文で詳述されている変更点の分析によると、GFWの管理者は部分的な緩和策しか講じられなかったことが示唆されています。著者らはGFWの性能を低下させる能力について中国当局に開示せず、代わりに反検閲コミュニティと成果を共有し、その後、本論文の出版とともに公表しました。
「この開示戦略を選んだのは、この劣化攻撃はGFWのインフラにのみ影響し、ユーザーには影響しないからです。検閲機関に非公開で開示していれば、検閲反対派コミュニティがこの脆弱性に気づき、そこから学ぶ前に、検閲機関は検閲メカニズムを強化する機会を得ることができたでしょう」と論文は述べている。®
