コンピュータフォレンジックの専門家であるニール・クラウェッツ氏は、Tor ブリッジ ネットワーク トラフィックの検出方法に関する詳細を公開しました。同氏はこれを「ゼロデイ攻撃」と呼んでいますが、Tor プロジェクトは、そのような攻撃は絶対にあり得ないと主張しています。
このプロジェクトは、インターネット上で匿名通信を行うためのオープンソースソフトウェアを提供しています。このソフトウェアは、世界中に広がるノードネットワークを介して接続をランダムにルーティングすることで機能します。そのため、Tor経由でウェブサイトやその他のサービスを利用すると、パブリックIPアドレスが隠蔽されます。つまり、ウェブサイトやサービス、そしてその回線上の盗聴者は、接続を利用してあなたの自宅のブロードバンド、オフィス、カフェなど、Torを使用している場所まで追跡することができず、匿名性が維持されます。このプロジェクトは、このネットワーク経由でパブリックウェブや非公開サービスに接続するためのFirefoxベースのブラウザも提供しています。
通常、ユーザーは公開されているエントリリレーを介してTorネットワークに接続しますが、IPベースの検出と検閲を回避するために、ブリッジリレー(略してブリッジ)経由で接続することを選択する場合もあります。一部の国、ISP、およびシステム管理者は、エントリリレーへのトラフィックを検知して停止するメカニズムを導入しています。これは、エントリリレーは悪意のある行為を行うと想定されるためです。ブリッジはエントリリレーのように公開されていないため、ネットワーク管理者が気付かないため、ブリッジに接続しても警告が発せられない可能性があり、ユーザーは妨害されることなくTorにアクセスできます。
Torのドキュメントには、「たとえISPが既知のTorリレーへの接続をすべてフィルタリングしていたとしても、すべてのブリッジをブロックすることはできないでしょう」と記載されています。「Torネットワークへのアクセスがブロックされていると思われる場合は、ブリッジの使用を検討してください。」
Torはブラウザの大幅な強化でオニオンサイトを強化: 安全なサイトを探すのに苦労する必要はもうない
続きを読む
とはいえ、ブリッジ方式は絶対確実ではありません。Torプロジェクトは、検閲官がブリッジを使用している場合でもTorトラフィックを検知・ブロックする方法を開発していることを認めています。通常は、転送中のパケットを検査して兆候を探すことで検知します。プロジェクトは、プラグ可能なトランスポートを通じてこの問題に対処しようと試みてきました。プラグ可能なトランスポートはプロキシとして機能し、クライアントとブリッジ間のネットワークトラフィックの特性を変更することで、一見秘密裏に行われている通信の特定とブロックをより困難にします。
Tor ブラウザは現在、obfs4、meek、Format-Transforming Encryption (FTE)、ScrambleSuit の 4 つのプラグ可能なトランスポートを実装しています。
Krawetz氏によると、これらのうち2つ(obfs4とmeek)は検出可能であり、Torの存在意義を損なう可能性がある。検閲官がTorトラフィックを検知できれば、ブロックできるのだ。
クラウェッツ氏はブログ投稿で、長年にわたりTorプロジェクトにセキュリティ上の脆弱性を報告してきたものの、その勧告は却下されたり無視されたりしてきたと述べた。「Torがどれほど脆弱であるかを一般の人々に知ってもらう必要があるため、これらの脆弱性を公表します」と、同氏は木曜日に記した。
クラウェスト氏は6月、Torプロジェクトのバグ報告の扱いに不満を抱き、Torの脆弱性を公表することを約束した。一方、Torの開発者らは、報告された欠陥は新しいものではなく、また十分な文書化もされていないと述べている。
Torプロジェクトの広報担当者はThe Register宛ての電子メールで、「報告者がどのような方法で提供していただいても、喜んでバグ報告をお受けします」と述べた。「先週の2件の報告は目新しいものではありませんが、本日の報告は調査する価値はありますが、大規模に機能するという証拠はほとんどありません。」
それで、問題は何ですか?
これらの脆弱性は、obfs4およびmeekトラフィックを検知する技術に相当します。そして、一度検知されれば、そのようなトラフィックはブロック可能です。これは、例えばTorユーザーのパケットをマスク解除するほど深刻ではないと言えるでしょうが、理想的とは言えません。
Torプロジェクトの広報担当者は、Krawetz氏がobfs4の検出とブロックに関する過去の公開については知らないと主張しているにもかかわらず、2015年と2020年に発表された学術論文ではまさにこの問題が検討されていると述べた。
Krawetz氏は自身の投稿で、ステートフル・パケット・インスペクションを用いてobfs4を識別する方法について説明しました。これは、ネットワークおよびトランスポートパケットのフィールドを追跡するフィルタリングルールを適用してトラフィックの許可/不許可を決定する手法ですが、パケットのアプリケーション層(ディープ・パケット・インスペクションの領域)までは深く掘り下げません。また、クライアントとサーバー間のトラフィックのタイミング遅延の特徴を調べることでmeekを識別する方法についても説明しています。
クラウェッツ氏が説明するように、問題はTorが検閲競争に適切に対応できていないことだ。彼によると、Torプロジェクトは諦めて、ネットワークトラフィックの検出を回避する手段としてobfs4に落ち着いたようだ。
「obfs4トラフィックを検知してブロックする方法を誰も知らないのであれば、これは問題ありません」と彼は述べた。「しかし、中国はobfs4接続を検知してブロックするための複雑な方法を持っているようです。そして私は、より簡易なステートフル・パケット・インスペクション・システムでobfs4トラフィックを検知できることを示したばかりです。」
Torプロジェクトの広報担当者は、Krawestz氏が中国のグレートファイアウォール(GFW)がobfs4を検出できるという主張を裏付けるために2018年の論文[PDF]を引用したことは、調査結果を誤解しているように思われると述べた。その論文には、「最も人気のある2つのプラグ可能なトランスポート(MeekとObfs4)は、GFWによるTorのブロックを回避するのに依然として効果的であることがわかりました」と記されている。
広報担当者はまた、BridgeDB 経由で配布される obfs4 ブリッジはブロックされているが、プライベート obfs4 ブリッジはブロックされていないことを示す調査を指摘し、検閲官がプロトコル自体をブロックしているのではなく、配布者からブリッジ情報を傍受していることを示唆した。
「ブログ記事は、細かく調整された決定木がobfs4の検出に非常に効果的であると示唆しており、これはobfs4の弱点である」とTorプロジェクトの広報担当者は述べた。
しかし、誰かのリビングルームで機能するものが、必ずしも国家規模で機能するとは限りません。多数の TCP フローに対して決定木を実行するのはコストがかかります (不可能ではありませんが)。また、調整にも労力がかかります。
この手法の有効性を検討する際には、ベースレートの誤りも考慮する必要があります。つまり、迂回トラフィックと非迂回トラフィックの比率は1:1ではないため、偽陽性/陰性率が1%(低いように思えるかもしれませんが)であっても、偽陽性が真陽性を大幅に上回る可能性があるということです。とはいえ、obfs4はこの種の攻撃に対して確かに脆弱です。®
