警察庁が ISPに Torのブロックを要請!?

元は毎日新聞のこの記事。
警察庁有識者会議:サイト管理者が通信遮断を 匿名悪用で

パソコン(PC)の遠隔操作事件を受け、発信元の特定を困難にする匿名化システム「Tor(トーア)」を悪用した犯罪対策を検討していた警察庁の有識者会議は18日、サイト管理者の判断で通信を遮断することが抑止に効果があるとする報告書をまとめた。警察庁は提言を踏まえ、インターネット接続事業者の業界などに自主的な取り組みを促す。

よく読めば、「ISPが Torをブロックする」なんてことはどこにも書いてないのですが、なぜか話がどこかで捻じ曲がってしまい、国内だけでなく海外でも報道されています*1。Tor Projectもこんなツイートをしています。


まあ記事が若干わかりにくく書いてあるのは確かなので (特に英語版の記事は誤解されやすい内容…だったのですが今見たら修正されてますね)、どういうことかちょこっと説明してみます。


そもそも Torがなにか分かっていないと話が通じないので、「Torってなに?」という人は、こちらの記事をどうぞ。(私が書いた記事ではないですが。)


さて一口に「Torをブロック」と言いますが、大まかに言って次の3つのケースが考えられます。

  1. Torネットワークからのアクセスを各サイトが制限する。(Inbound)
  2. 企業などが社員による Torネットワークへのアクセスを制限する。(Outbound)
  3. ISP等の通信事業者が Torによる通信を制限する。(In/Out両方)
1番目のケース

まず1のケース。Torを利用すると発信元を追跡することが非常に難しくなるため、サイバー犯罪などで利用されることがあります。遠隔操作ウイルス事件がよく例として挙げられますが、他にも Torネットワークからの不正アクセスの事例はありますし、Torネットワークを経由して DoS攻撃を行うツールなども知られています*2。そのため各サイトが独自の判断で Torネットワークからのアクセスを制限することはアリでしょう。例えば 2chでも多くの掲示板で Torからは書き込みができないように制限されています。
(遠隔操作ウイルス事件についてはコチラの記事が詳しいです。)

Tor Projectは Exitノードのリストを公開しているので*3、リストに掲載されている IPアドレスからのアクセスを制限すれば Torからのアクセスを遮断できますし、技術的には難しくありません。(運用はいろいろと面倒かもしれませんが。)

2番目のケース

さて次に2のケース。組織内での利用という観点で考えると、そもそも Torを業務で使う必然性は多くの場合ないと思います*4。また Torの通信は暗号化されますし、ファイアウォールやプロキシのログに残るアクセス先も Entryノードにすぎないので、最終的にどこにアクセスしているのかもわかりません。こうしたことから、各組織のポリシーやルールとして Torの利用を制限するというのもアリでしょう。また Torのクライアント (実際には SOCKSプロキシとして動作する Tor Relay) は、最初にディレクトリサーバにアクセスして Torのノードに関する情報を取得するなど特徴的な動きをします。また Entryノードの IPアドレスも非公開ではありません。そのため Torの通信を検知して遮断することは技術的にも可能です。例えばネットエージェントさんの One Point Wallは Torを遮断できるそうですし、自前でフィルタリングのルールを設定してもいいでしょう。
(なお表現の自由が著しく制限されたり、通信の検閲が行われるような国においては、このような Torのブロックを防ぐことが必要になります。そのため Torには Bridgeノードという仕組みも存在します。これは非公開の中継ノードで IPアドレスによるブロックを回避するために利用されます。)

3番目のケース

最後に3のケース。1のケースが Inbound、2のケースが Outboundでのアクセス制限だったのに対して、これは通信経路上で制限をかけるというものです。Torネットワークからのアクセス (Inbound)、Torネットワークへのアクセス (Outbound)だけではなく、実際には Torネットワーク内のノード間の通信もあります。面倒なのでここでは「経路上での Tor通信の制限」としてまとめて扱います。
さて多くの方が今回の件で指摘しているように、電気通信事業法には通信の秘密の保護に関する規定があり、また検閲することも禁止されています。これはISPなどの通信事業者にとって極めて重たいものです。経路上で事業者が Torの通信を遮断するとなるとこれは事業法に抵触することになるので、そう簡単に実施できるものではありません。

少し別の話になりますが、DDoS攻撃は被害者にとっては非常に迷惑なので、通信事業者が経路上でブロックしてくれればいいのにと思うかもしれません。しかし DDoS攻撃の場合でも通信の秘密を侵して安易にブロックすることは許されません。そこで通信事業者は業界団体を中心に自主的なガイドライン(電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン)を策定しています。これは DDoS攻撃の通信を ISPが遮断すると通信の秘密の侵害行為には該当するものの、どういった場合にその違法性が阻却されうるのか、十分な議論を行った内容を整理したものです。
このように通信を遮断する行為はそれが何であれすべて通信の秘密を侵害する行為になります。したがって、警察庁が ISPに対して「Torのブロックよろ」とカジュアルに要請できるようなものではないのです。(もっとも警察の方々も本音ではブロックしてくれればいいのにと思っているかもしれませんが。)

で、今回の話は…?

さてここでようやく冒頭の話に戻ります。毎日の記事では「警察庁の有識者会議」となっていますが、これは「総合セキュリティ対策会議」のことで、警察庁によると以下のように説明されています。

総合セキュリティ対策会議は、情報セキュリティに関する産業界等と政府機関との連携の在り方、特に警察との連携の在り方について検討を行うことを目的とする生活安全局長主催の私的懇談会。

今回話題になっているのは「サイバー犯罪捜査の課題と対策」というテーマで、これは遠隔捜査ウイルス事件の発生を受けて昨年追加された検討テーマです。この事件で犯人が Torを利用していたことから、Torの利用になんらかの制限をかけることが会議の議題として挙がっているようです。もっとも Torに関しては昨年から急に議題となったわけではありません。平成 23年度の報告書 (PDF)を読むと、Torという名称は書かれていないものの「インターネット上の高度匿名化技術」として Torが紹介されており、「将来的な悪用への対策を検討すべきである。」とあります。

さきほどの毎日の記事ではもう平成 24年度の報告書がまとまっているように書かれていますが、総合セキュリティ対策会議のページではまだ公開されていません。しかしすでに公開されている過去 3回の議事録の内容を見る限り、「サイト管理者の判断において Torからのアクセスを制限することが、犯罪の抑止という観点から有効であり、このような手法について業界団体等を通じて普及啓発につとめていくべき」といった内容の提言ではないかと思います (これは私の推測です)。つまり先程の 1のケースですね。これはまあそれなりに妥当な提言内容だろうとは思います*5。これがなんで ISPが Torをブロックする話 (3のケース)になってしまったのか…よくわかりません。もっとも報告書が公開されてみないと実際にどのような内容が書かれているのかはわかりませんけど。


(注) 筆者の立場を明らかにしておきますが、私は国内の電気通信事業者に勤務しているので、事業者寄りの視点にやや偏っている可能性があることをお断りしておきます。;)


(4/24PM 追記)
毎日新聞の記事修正について、こちらの記事に経緯が説明されています。
警察庁がTorの遮断を要請するという報道について - yet2come's diary


(5/7PM 追記)
総合セキュリティ対策会議の平成24年度の報告書が公開されました。Torからのアクセス制限については P.4で言及されています。出口ノードのリストを利用してサイトへの閲覧や書き込みを制限する方法を紹介し、次のように述べています。

新たなサイバー犯罪に関する課題と 今後の対策について 平成 24 年度総合セキュリティ対策会議 報告書(PDF)

Tor を用いて行われる通信を、例えば、下記の手法により技術的に制限することが可能であることから、Tor による通信により被害を受けるおそれのあるサイト等当該サイトの特性に応じ、サイト管理者等の判断により Tor を用いた通信を遮断することとすれば、犯罪抑止の観点から一定の効果があると考えられる。

これを見る限りでは「業界に取り組みを促す」といった話は入ってませんが、今後そういう動きが出るのでしょうかね。

*1:しかもその海外記事を翻訳した記事なんかもあって、さらにわけがわからないことに…

*2:TorsHammerなどはその代表例です。

*3:Tor Projectの FAQにも Torからのアクセスをブロックする方法がちゃんとのっています。

*4:私は割と日常的に Torを使いますし、この業界にはそういう人が少なくないと思いますが、全体から見るとレアなケースでしょう。

*5:個人的な意見として、Torを経由した不正アクセスなどがどの程度の割合を占めているか明らかでないので、Torだけを制限しても実際にどの程度の効果があるのか疑問だなぁとは思います。匿名化の手段は Torだけじゃないですし。