ハクソク

世界を動かす技術を、日本語で。

イランのインターネット遮断に関する技術的考察

316日前原文(zola.ink)

概要

  • イラン では大規模な抗議が発生すると、 インターネット遮断 が頻発
  • 国家独自のネットワーク「 National Information Network (NIN)」で国内サービスを維持
  • 政府の検閲を回避するための 技術的手法 が存在
  • StarlinkWireGuard などの海外接続方法も利用
  • NIN内でも 自己ホスト型暗号化サービス で安全な通信を確保可能

イランのインターネット遮断とNINの仕組み

  • 抗議活動時に インターネット速度低下 や完全遮断が発生
  • NIN(National Information Network) は国家管理のイントラネット
    • 国内限定のウェブサイト、銀行、行政サービスが稼働
    • 国際サービス(WhatsApp, Instagram等)は遮断、国内サービスは維持
  • ISPは政府管理ゲートウェイ経由 で通信、監視・遮断が容易
  • IRGFW(イラン版Great Firewall) で更なる検閲・監視体制
    • 中国のGreat Firewallを参考に、より中央集権的な管理

フィルタリングの抜け道とIPアドレスの問題点

  • フィルタリングは GeoIPデータベースBGP情報 に依存
    • IPの割り当て変更に追従できず、 隙間が生じる
  • 新しいIPやレンタルIPが 遮断リストに未登録 の場合、アクセス可能
  • プロキシやVPNサーバーのスキャン で遮断回避の隙間を探す手法
    • 成功率は低いが、1つでも繋がれば外部と通信可能

ICMPトンネルによる通信手段

  • ICMP(ping)プロトコル は完全遮断されていない
    • ネットワーク診断用途で必要不可欠
  • Pingtunnel 等のツールでICMPパケットにデータを埋め込み通信
    • 速度は非常に遅く、パケットロスも多い
    • テキスト通信やコマンドラインアクセス、小規模ファイル転送向け
    • 完全な秘匿性はないが、遮断時の「 遅いが繋がる」手段

StarlinkとWireGuardを使った検閲回避

  • Starlink端末 の所持・使用は違法化されているが、入手例あり
  • Starlinkは 衛星インターネット で国内ISPを経由しない
  • NAT経由 で複数ユーザーがStarlink接続を共有可能
    • WireGuard等の 暗号化VPNトンネル を利用
    • Starlink端末がグローバルIPを取得し、ローカルルーターが通信を橋渡し
  • 政府の物理的差し押さえ 以外では遮断困難
  • WireGuardはUDPベース、DPIによる検出も困難
  • NATによりIP構造が隠蔽 され、複数人で1台を共有可能

NIN内での安全な通信方法

  • グローバル接続遮断時は NIN内限定通信 しか利用不可
  • SMSや電話は 暗号化されておらず、監視・傍受対象
  • NIN内で 自己ホスト型暗号化サービス の構築が有効
    • 例:Matrix Synapseサーバー(E2E暗号化対応)
    • VPSをイラン国内ISPで契約し、NIN内でドメイン設定
    • サーバーは国内限定でアクセス可能、国際検閲の影響を受けにくい
    • 強力な暗号化で 内容の秘匿性 を確保

まとめ:NIN時代のサバイバル術

  • 完全遮断下でも 技術的抜け道 が存在
  • ICMPトンネル未登録IPのプロキシStarlink+WireGuard など多様な手段
  • NIN内では 自己ホスト型暗号化サービス で最低限のプライバシー通信
  • 技術的知識と慎重な運用が鍵
  • 完全な安全は保証されないが、 情報孤立の打破 に重要な役割

Hackerたちの意見

最後の段落には、圧政下にある国内の人たちが監視なしでつながるためのしっかりした方法が示されていて、感謝してる。どれくらいの人がこれを実行してるのか、今の国内の抵抗運動や動きはどうなってるのか気になるな。

本当にそうかな? 自分で暗号化メッセージングプラットフォームをホスティングすることが違法かどうか、影響は何か、どうやってそれを隠すかについては触れてないよね。この記事全体が技術的な詳細や実用的な情報が不足していて、誰にもガイドとして使うことを勧められないと思った。

Synapseは運営が大変だし、メタデータの収集を最小限に抑えることもできない。サーバーを押収されない国の外で運営するならいい選択肢だけど、そうなると国が世界から切り離されたときにアクセスできない問題が出てくる。リソースをかなり消費するから、それに耐えられるハードウェアで運営しないといけないし、SBCではほとんど動かない。他の投稿の内容も変で、イラン人の代弁をしてるみたいだけど、実際にはオンラインで知ってる人がいないみたい。Cellmapperコミュニティの知り合いが何人かいるけど、SMSは全然高くないよ。1000通のSMSは最悪でも約0.03ドルだし。最後に、Starlinkが特別な独自の暗号化を使っているわけじゃない。一般的な暗号化標準を使えるし、イランはそれを特定して端末を押収することくらいしかできない。おそらく、彼らは既知のStarlinkバンドで信号の発信を探し始めて、端末を特定するだろうね。ロシアにはすでに「カリンカ」という検出システムがあるらしい。

どれくらいの人がこれに関わっているのか、国内の抵抗運動や動きが今どうなっているのか気になるね。調べるのは難しいけど、HNみたいなサイトは監視されているだろうし、もしイランのアカウントが「こんにちは、私は抵抗運動に参加しています」とか言ったら、標的にされちゃうだろうね。でもアメリカも同じ方向に向かっていると思う。私の陰謀論的な視点を持つと、「私たち」はすでに知っていたけど、スノーデンのリークでNSAなどが主要なインターネット企業の中にいることが確認された。いざという時に、情報が自由に流れるようにするのは、私たちテクノロジーに詳しいネット民の責任だと思う。情報へのアクセス(例えば、ウィキペディアのページが詰まったローカルのポータブルWi-Fiデバイスみたいな)や、コミュニケーション(記事に出てきたマトリックスサーバー)を通じて、外の世界とつながることが大事だよね。そう考えると、もしアメリカがグローバルインターネットやStarlinkから切り離されたら、次の選択肢は何になるんだろう?アマチュア無線とかウィスパーネット?今のところ、インターネットがシャットダウンされるにはまだ自由がありすぎると思うけど、知識を持っておくことは重要だよね。さて、陰謀論の帽子は脱ぐね。ちなみに、私はアメリカには住んでいないけど、祖父母は第二次世界大戦を経験していて、その時はナチスがラジオを押収して人々を無知にしようとしたから、秘密のラジオを持っていたんだ。ラジオは抵抗運動にとって不可欠で、BBCの公共放送には、例えばサボタージュの物資投下を知らせる秘密のメッセージが含まれていたよ。オランダの抵抗についてはここを見てね:https://en.wikipedia.org/wiki/Dutch_resistance、ヨーロッパ全体の抵抗についてはここ:https://en.wikipedia.org/wiki/Resistance_during_World_War_II。

この記事が「国家情報ネットワーク」についてもっと詳しく説明してくれたらよかったのに。おそらく、国が管理するDNSサーバーのセットで、上流のグローバルDNSが切断されても国内のIPを常に解決できるものだと思う。でも、もっと大きな視点で見ると、正直言って、一般の人々にとっての生のグローバルインターネットの終わりを見ている気がする。20年前には不可能に思えたけど、今ここにいる。数年後には、認証されていない、承認されていない形でインターネットを意味のある形で使うのは難しくなるだろうね。オンラインで大衆にリーチするコストは増えていくから、大手企業だけができるようになるだろうし、彼らのプラットフォームか何もないかって感じになる。何百万、何十億ドルも持ってる人たちが望まないものや、金にならないものには居場所がなくなるよ。全体的に見て、これが私の生活におけるインターネットやテクノロジーの役割を減らしたいと思わせる。日常生活に必要なアプリを使ったり、知ってる人たちとイベントや会議を調整するのに、最速のデータプランや最新のPC、新しいスマホ、流行のAIトレンドなんていらないからね。

「国家ネットワーク」についてのブログ記事を書いたから、これで少しはクリアになるといいな。これは単なるDNS以上のものだよ。

もっと大きな視点で見ると、正直言って、一般の人々にとっての生のグローバルインターネットの終わりを見ている気がする。20年前には不可能に思えたけど、今ここにいる。これは敗北主義だね。「一般の人々にとって」はおそらく正しいけど、常にネットワークを構築したり、協力したり、制限を回避する人たちがいるよ。私は「ファイアウォール」で隔てられた政権の中にいるオンラインの知り合いがいて、彼らはv2rayやshadowsocksなどを使って制限を回避してる。今はローカルや市全体のネットワークを運営するための安価なツールがたくさんあるし、アマチュア無線も独自のパケットラジオを持ってる。最近数年で新しいLoRaネットワークもたくさん出てきた。言いたいのは、そういうものは存在していてアクセス可能だけど、使うのは少数派の人たちだけだってこと。こういう投稿にコメントするのも少数派だし(私たちみたいな人たち)、それをどうやってやるかを教えたり、ツールを作ったりするのはさらに少数派だよ。でも、いつもこうだったんだよね…。

情報を世界中で自由に共有する唯一の方法は短波ラジオだね。昔からそうだし、これからもそうだろう。

そうかもね、あるいはStarlinkやソフトウェアが権威主義者たちを不安定にさせるかも。

現在のグローバルインターネットは、空間と時間の中で異常な存在で、唾液や祈り、そして複数の冗長経路から得られる信頼性の向上が、いろんなプレイヤーの関与による信頼性の低下を上回ることを願って成り立ってる。どんな大きな政府でも、グローバルな接続に大きな問題を引き起こすのは簡単だよ。今のところ、彼らは自分たちだけを切り離すことに満足してるみたいだけど、ネットをめちゃくちゃにできる力を持ってる連中は、そうしたがってないみたい。だけど、NSAはかつて、ヨーロッパ内のトラフィックをアメリカ経由で大量に転送して、盗聴してたことがあるよ。

もっと大きな視点で見ると、正直言って、私たちは一般向けの生のグローバルインターネットの終わりを見ていると思う。20年前は不可能に思えたけど、今ここにいる。何十年も前からこの話を聞いてる気がする。ナップスター時代の海賊行為の初期波の議論の中で、多くの人が企業がそれを許さないから自由なインターネットの終わりが近いと考えてた。 > 数年後には、認証されていない、承認されていない形でインターネットを意味のある形で使うのは単純に不可能になるだろう。私はその逆の賭けをいつでも受けるよ。イランのような特定の国は制限を課すだろうけど、平均的な国が数年でインターネットアクセスを制限すると思うなら、何を言えばいいのか分からない。

20年前、いわゆる「ギーク」たちはそのニュースに対して「私たちが解決できる!」って反応してたし、実際にツールを作ってた。彼らのツールはしばしば原始的だったけど、現代のものはその発展と蓄積された知識に基づいてる。今の人たちは、誰かや何かにひざまずくことを常に探してるおべっか使いでいっぱいだ。お金、権力、あるいはせいぜいその時の流行の名声。そういう理想を広めるために多くの努力がなされて、何も「古臭い」「異議を唱える」「物議を醸す」ことは教えられてない。だから、誰かに脅される前に白旗を上げるだけじゃなくて、その目的のために積極的に働いてるんだよ、意図的にでも無意識でも。君が投稿したとき、56ビットの暗号化を使ってなかった気がする。別の世界では、君はそうして、政府と名乗る誰かにすべてをアクセスさせるのがどれほど哀れで不安定かを嘆いてるだろうけど、共産主義者やテロリスト、民主的価値を拒否して人間でなくなった堕落者たちの存在があるから、理解できる部分もあるんだよね。ディストピアやその見方は、実際には高名な詐欺師たちを助けることが多い。人々は彼らを「世界が本当にどう機能しているか」の描写として扱って、誰かがそれをやったり、そんな選択肢をほのめかしたりすることが普通だと思ってる。実際には、人々が考えるのをやめたときにどれほど愚かになれるかを描写するために意図されてたんだけど。もう少し高い基準を選んでほしいな。

これは単に中央集権と分散の間の振り子の揺れだね。「オンラインサービス」、インターネット、コンピューティング(メインフレーム、PC、クラウド、モバイルなど)に当てはまる。片方に揺れれば、最終的には戻ってくるよ。どの選択肢が他と比べて実現可能にするイノベーションを探してみて。

NINについてもっと調べなきゃ。彼らが何をしてるのか、正直よくわからないんだよね。

たぶん良いことだね。結局、20年前のSlashdotに起こったことが社会にも起こったんだ。終わりのないトロールやクズがすべてを台無しにしたから。

WireGuardはUDPを使って小さなハンドシェイクフットプリントを持っているため、DPIによる検出やブロックが難しくなる。これは完全には正しくない。WireGuardはすでに必要に応じて積極的に検出され、抑制されている。これに関してプロトコルを改善するための基本的な変更を加えたフォークもすでに存在する。AmneziaWGは、今のところ検出に対してより堅牢であることが示されている。残念ながら、WGの管理はとても面倒で、TailscaleやNetbirdはこのプロトコルをまだサポートしていない。次の2つの問題に注意が必要だよ。

Obscuraでは、WireGuardをQUICの信頼性のないデータグラムメカニズムでトンネルして、HTTP/3のように見せかけてる。私たちはDatagramsをMTUにパディングするパッチをquinn-rsにアップストリームしたよ。

その通り。でも、私の調査によると、NINではDPIを使ってないから、イランの中のVPSでWGやOpenVPNを使えるかもしれないけど、デジタルオーシャンのようなVPSには使えないかも。彼らはDPIの強さを選択的に上げたり下げたりすることもできる。例えば、特定のIPレンジをグレーリストにして、何も機能しないようにしたり、特定のIPレンジに対してより積極的にプロービングを行ったりすることができる。

「Wireguard」の管理がめっちゃ面倒なのが残念だね。そうなの?OpenBSDのクライアントは、/etc/hostname.wg[0-9]+に約10行必要で、それにルートも含まれてるよ!

IPv4アドレスは限られていて、常に再割り当てされてる。ほとんどはレンタルされて、ホスティングプロバイダー間でやり取りされたり、データセンター間で再販されたり、地域を越えて移動したりしてる。イランのフィルタリングシステムは、GeoIPデータベースやBGP情報を使って、どのIPレンジを信頼するか、どれをブロックするかを決めてる。でも、その記録は変更に追いついてないんだよね。これには驚いた。イランのISPは直接IPスペースを割り当ててるはずじゃないの?それとも、イラン政府がルーターに介入して、国を出るルートをブロックできるはずじゃない?

これについては無知なんだけど、国から出るネットワークのルートを完全に遮断する物理的なスイッチがないのが驚きだよ。

いい記事だね。でも残念ながら、Starlinkは違法だし、政府がそれを取り締まってるんだ。

ありがとう、でも違法だからって手に入らないわけじゃないよね。

メッシュネットワークって、こういうシナリオには理想的じゃない?

そうだね、こういうシナリオでは機能するはずだけど、ちゃんとしたメッシュネットワークインフラを運営するには大規模な普及が必要なんだ。

スターリンクの端末を見つけるのってどれくらい簡単なんだろう?簡単だと思うけど、位相配列アンテナやビームフォーミングがあるから、地上からの検出が難しくなるのかな。運転しながらSDRで、ウォードライビングみたいに検出できるかな?

技術的なウィキをホスティングするのもめっちゃ役立つと思う(だって、ChatGPTやGoogleを使う方法が他にないから)、それに効率的(ストレージ的に)にkiwixと一緒に展開すればいい感じだね。

この「国家情報ネットワーク」は、全ての国が導入すべき青写真みたいだね。検閲されたインターネットは望んでないし、国際的な協力のファンだけど、サイバー戦争が今や一般的になってるのは残念だし、基本的なサービスを守ることを無視するのはかなり愚かだよね。