以下の文章は、TorrentFreakの「Encrypted DNS and SNI Make Pirate Site Blocking Much Harder」という記事を翻訳したものである。

TorrentFreak

サイトブロッキングは、権利者から有力な海賊版対策ツールとみなされている。しかしネットワークの専門家やインターネットプロバイダは、サイトブロッキングに新たな脅威が迫っていると警告する。DNS、SNIの暗号化(Encrypted DNS and SNI)が進むことで、特定ウェブサイトへのブロッキングが極めて難しくなりかねないのだという。

海賊版サイトの撲滅を目指すエンターテイメント業界は、ウェブサイトブロッキングを海賊版対策の有効なツールとみなしている。

エンターテイメント業界は10年以上前から、サイトブロッキング導入の取り組みを進め、現在は世界各国で採用されるに至った。

ブロッキングは一般に、裁判所の命令に従い、インターネットプロバイダが実施するというかたちをとっている。その手段としては、単純なDNSブロッキングから、SNI(Server Name Indication)を利用した複雑なスキーム、あるいはその両方を組み合わせて行なわれている。

これまでのところ、こうしたブロッキングの取り組みは比較的うまくいっている。だが、ネットワークの専門家の間では、テクノロジーの進歩につれて、今後ブロッキングやフィルタリングが無効化されていくのではないかとの懸念が高まっている。

たとえば、テクノロジー企業はDNS over HTTPS (DoHまたはDNS暗号化)の採用を進めている。ドメイン名解決がセキュアなHTTPSプロトコルを介してできるようになるのだが、その一方で、ISPを含む第三者がユーザのアクセスするサイトを盗聴することが難しくなる。

今年はじめ、英インターネットプロバイダ「BT」の主任ネットワークアーキテクト、アンディ・フィドラー氏は、DNSの暗号化が状況を一変させる可能性があると警告した。ITProの報道によると、同氏は業界の専門家らを前に行った講演で、さまざまな懸念を概説している。

こうした新技術が普及することで、裁判所が命じるウェブサイトブロッキングの実施が困難になるとの懸念を強調した。

「英国ISPにDNS経路が存在しなくなれば、特定ドメインへのブロッキングを要請する裁判所命令を遵守できなくなるかもしれません」とフィドラー氏は講演で語った。

「DNSブロッキングは、ISPが政府・規制当局のブロッキング命令を実施する上でとりうる手段として、最も対象を絞り込めるツールとなっています」

通常のDNSクエリであれば、ユーザがサードパーティのDNSプロバイダを利用している場合でも、ISPはユーザがアクセスしようとしているウェブサイトを把握できる。しかし、DNSクエリが暗号化されれば、ISPは加入者がどのウェブサイトにアクセスしているかを確認できなくなるのだ。

フィドラー氏は、英国のインターネットプロバイダと関連する業界に対し、こうした進展にどう対応すべきかと問いかけた。ユーザのプライバシーが強化されることは悪いことではないとしながらも、ウェブサイトブロッキングやペアレンタルフィルターが無効化されるなどの問題は看過し得ないとした。

このスタンスは、以前から英国インターネットサービスプロバイダ協会が表明してきた意見とも一致する。同協会の広報担当者はフォーブスの取材に、DNS暗号化は既存の保護を損ねるものであってはならないとコメントしていた

「インターネットブラウザーがDNS暗号化をデフォルトで有効にすれば、有害なオンラインコンテンツが野放しにされ、ユーザを深刻なリスクに晒すことになる」

「インターネットブラウザのメーカーには、英国ISPと同じ保護を提供し、同じスタンダードに従い、同じ法律を遵守することを期待する」

しかし、暗号化の流れを阻止するのは難しそうだ。すでにCloudflareは1.1.1.1ネームサーバを通じてDNS暗号化を提供しており、Firefoxもバージョン62でDNSルックアップの暗号化をサポートしている。

問題はDNSだけではない。

DNSの暗号化によって、ISPはサイトブロッキングに困難を抱えることにはなるが、まったく不可能になるというわけではない。たとえばSNIの盗聴は選択肢として残されている(訳註:SNIを利用した接続制限に関する解説はこちらの記事に詳しい)。

だが、将来的にはこれも容易ではなくなるかもしれない。DNS暗号化のサポートが広がるのと並行して、ISPによるSNIハンドシェイクの覗き見を防ぐSNI暗号化を採用するテクノロジー企業も出てきている。

昨年9月には、Cloudflareが同社ネットワーク上でのSNI暗号化のサポートを発表し、その数週間後にはMozillaもFirefoxでESNI(Encrypted SNI)をサポートした(訳註:Firefoxでの設定方法)。

DNSとSNIが暗号化されれば、ISPによる海賊版サイトのアクセス遮断は難しくなる。単純なIPアドレスブロッキングを実施することはできるが、サイトが共有IPアドレスを利用している場合には、無関係なサイトを多数巻き込むことにもなりかねない。

この問題は世界中で行われているサイトブロッキングに大きな障害となりうるが、現時点で問題になっているわけではない。ブラウザやネットワークプロバイダからのサポートはまだまだ局所的で、サイト運営者にとっても優先度は高くないようだ。

試しにDNSとSNIの暗号化、さらにDNSSECとTLS1.3を有効化してパイレート・ベイにアクセスしてみたが、同サイトへのブロッキングを回避することはできなかった。パイレート・ベイはCloudflareの互換ネットワークを利用しているが、そのドメインはDNSSECをサポートしていない。

ブロッキングが回避できるかどうかは、ISPがどのようなブロッキング手段を用いているかに左右される。ISPがよりアグレッシブな手段を用いている場合、ウェブサイトがブロッキングを回避するためには、より多く対抗手段を講じなくてはならない。

とはいえ、DNS、SNIの暗号化の動きはまだ始まったばかりだ。将来、サイト運営者やユーザが様々な手段を駆使してブロッキングを回避するようになったとしてもさして驚きはない。VPNや「Tor」ブラウザのようなブロッキング・バスターはすでに存在しているのだから。

Encrypted DNS and SNI Make Pirate Site Blocking Much Harder – TorrentFreak

Author: Ernesto / TorrentFreak / CC BY-NC 3.0
Publication Date: July 02, 2019
Translation: heatwave_p2p
Material of Header Image: César Córcoles