ハクソク

世界を動かす技術を、日本語で。

GeedgeとMESAの漏洩:グレートファイアウォールの最大の文書漏洩を分析する

254日前原文(gfw.report)

概要

  • 中国のインターネット検閲システム「Great Firewall(GFW)」の史上最大規模の内部文書漏洩発生
  • 漏洩元はGeedge NetworksおよびMESA Lab、関連する開発・運用情報や国際展開の実態が明らかに
  • 総容量600GB超、ソースコード・業務ログ・内部コミュニケーション記録を含む
  • 高度な機密性から利用時のセキュリティ対策が強く推奨
  • 今後も継続的な分析・情報更新が予定されている

GFW史上最大の内部文書漏洩事件

  • 2025年9月11日、中国のGreat Firewall(GFW)に関する過去最大規模の内部文書漏洩発生
  • 漏洩内容は500GB超のソースコード、業務ログ、内部コミュニケーション記録
  • 漏洩元はGFWの中核技術陣であるGeedge Networks(主任科学者:Fang Binxing)および中国科学院情報工程研究所のMESA Lab
  • 新疆、江蘇、福建など中国国内政府へのサービス提供実態、さらにミャンマー、パキスタン、エチオピア、カザフスタン等「一帯一路」枠組み下での検閲・監視技術輸出の証拠
  • この漏洩の意義と波及効果は極めて大きい

漏洩ファイルのダウンロード方法と内容

  • Enlace Hacktivistaが漏洩ファイルへのアクセス手段を公開
    • BitTorrentリンク: https://enlacehacktivista.org/geedge.torrent
    • HTTPS直接ダウンロード: https://files.enlacehacktivista.org/geedge/
  • 漏洩ファイル総容量は約600GB
    • mirror/repo.tar (RPMパッケージサーバーアーカイブ)が500GBを占める
  • ファイル内容例 (一部抜粋)
    • geedge_docs.tar.zstmesalab_docs.tar.zst :技術文書アーカイブ
    • geedge_jira.tar.zst :業務管理記録
    • mesalab_git.tar.zst :ソースコードリポジトリ
    • その他Word文書・チャットログ等多数
  • ファイル利用方法についてはDavid FifieldがNet4People上で詳細解説済み

セキュリティ上の注意事項

  • 漏洩資料は極めて機密性が高く、解析・閲覧には厳重な運用セキュリティ対策が必須
    • マルウェアや監視リスクを考慮し、インターネット未接続の仮想マシン等隔離環境での利用を強く推奨
    • 不用意なダウンロードや解析は自己責任で実施

GFWの背景と漏洩元の詳細

  • Great Firewall(GFW)とは、中国のインターネット検閲システムの総称
    • 研究開発・運用・ハードウェア・管理各部門が連携し構築
    • 固定政府機関(例:CNCERT)に加え、契約に応じて民間・研究機関が技術支援
  • 今回の漏洩元はGFWの研究開発部門の一翼、Geedge NetworksおよびMESA Lab
    • MESA Labは中国科学院情報工程研究所(IIE, CAS)所属
    • Fang Binxing(GFWの父)が2008年に設立した「国家信息内容安全工程技術研究中心(NELIST)」が前身
    • 2012年からIIEに拠点を移し、MESA(Massive Effective Stream Analysis)チームとして再編
  • MESAの主な沿革
    • 2012年1月:初期メンバーがIIEでチーム結成
    • 2013年:IIE科学技術進歩賞受賞
    • 2014~2016年:大型プロジェクト受託、チーム拡大、国家科学技術進歩賞(2等)受賞
    • 2018年:Fang Binxingが海南でGeedge Networks設立、MESA出身者が中核を担う
  • 漏洩gitコミットにはMESAの指導教員・学生名が多数登場

非ソースコードファイルの分析

  • 非ソースコード部分(業務資料・文書等)は既に複数の専門チームが分析済み
    • David Fifieldによる関連メディア報道・技術解説のノートが公開中
    • ソースコード部分の詳細解析は未着手

ソースコードファイルの分析と今後の展望

  • ソースコード部分の詳細解析は現時点で進行中
  • GFW ReportおよびNet4Peopleで継続的な分析・情報更新を実施予定
  • 本件に関する質問・意見・追加証拠等の共有を広く呼びかけ
    • 連絡先はGFW Report公式サイトのフッターに掲載

参考リンク

  • Tom's Hardware記事: https://www.tomshardware.com/tech-industry/chinas-great-fire...
  • GFW Report公式X(旧Twitter)投稿: https://x.com/gfw_report/status/1966669581302309018

Hackerたちの意見

ここにいくつかの分析と議論があります: https://github.com/net4people/bbs/issues/519

2018年に設立されたGeedgeの最初のクライアントの一つはカザフスタン政府で、同社は中国のグレートファイアウォールに似た機能を持つTiangou Secure Gateway(TSG)を販売しました。これは、通過するすべてのウェブトラフィックを監視・フィルタリングし、検閲を回避しようとする試みも監視します。 同じツールはエチオピアやミャンマーでも展開されており、これによりその国の軍事政権がVPN禁止を強制するのに役立っています。多くの場合、GeedgeはエチオピアのSafaricomやミャンマーのFrontiir、Ooredooなどのインターネットサービスプロバイダー(ISP)と協力して政府の検閲を実施していることが文書からわかります。Geedgeと提携しているISPからはコメントのリクエストには応じていません。 漏洩した文書には、同社の従業員が多くの人気ツールをリバースエンジニアリングし、それらをブロックする手段を見つけようとしている様子が示されています。一部の文書には、9つの商業VPNが「解決済み」としてリストされており、それらへのトラフィックを特定・フィルタリングするためのさまざまな手段が提供されています。商業VPNのほとんどは中国国内からアクセスできず、専用の反検閲ツールもアクセスが難しいことが長い間示されています。 少なくとも1つのJiraサポートチケットには、メールのプレーンテキストキャプチャの証拠があります。

少なくとも1件のJiraサポートチケットには、メールの平文キャプチャの証拠がある。西側の政府も同じことをしていないとは思えないし、みんなそれに応じて行動すべきだね。

最近のロシアでのVPN禁止の波も、この技術を使ってると思うよ。例えば、怪しいWebSocketエンドポイントがファイアウォールによって「ノック」される仕組みや、怪しいほどトラフィックが多いSSH接続が切断される様子から、ロシア政府が中国から全てのスタックを買ったんじゃないかって感じる。

最初に思ったのは、残念ながらイギリスや他の西側諸国がこれを真似して自分たちのファイアウォールを作るのではないかということ。正直言って、今のところ誰もその目標に向かって積極的に動いているとは思えないし、ちょっと誇張した意見かもしれない。でも、実際には私たちはそういうシステムに向かって進んでいる気がする。次に思ったのは、中国共産主義がどれだけひどい状況なのか、国民が情報にアクセスしたり異議を唱えたりするのを防ぐために、こんなに大規模な努力が必要だということ。私たちは自由な社会に生きていることに感謝しないとね。インターネットは政府の干渉や検閲に対して負けつつあるようで、それは良いことより悪いことの方が多い。

最初に思ったのは、残念ながらイギリスや他の西側諸国がこれを真似して自分たちのファイアウォールを作るのではないかということ。 様々な西洋のネットワーク企業は、すでにノキアやブルーコートシステムズ、シーメンスなど、権威主義的な政権にこういった製品を販売しています。中国は、他の場所で文書化されている理由から、常に「自分たちの技術」でこれを構築したいと思っていました。私にとって新しいのは、その技術を中国と同盟国に輸出していることです。 次に思ったのは、中国共産主義がどれだけひどい状況なのか、国民が情報にアクセスしたり異議を唱えたりするのを防ぐために、こんなに大規模な努力が必要だということ。これは非常に物議を醸す意見ですが、この点に関してオーバートンウィンドウがシフトしていて、多くの人が「利他的な理由」での検閲やDPIを好むことがよくあります。ネパールが同じことをしたために、(おそらく)欧州人がソーシャルメディアサイトのブロックを求めているのを見るのは悲しいことでした。もちろん、私たちは興味深い時代に生きていて、主要な西側大国が産業の政府所有を優先する経済政策を採用しているのは、過去に見たことのあるものよりも共産主義に近いです :)

次に思ったのは、中国共産主義がどれだけひどい状況なのか、国民が情報にアクセスしたり異議を唱えたりするのを防ぐために、こんなに大規模な努力が必要だということ。 OpenAIや他の企業がAIモデルをトレーニングしていることから、モデルのアーキテクチャよりも、与えられるデータの質が重要だということがわかっています。これは人間にも当てはまります。グレートファイアウォールは主に異議を唱えることの検閲に関するものだと理解していますが、中国の市民をジャンクフードのメディアソースから遠ざけるためでもあります。DouyinとTiktokの動画の違いはその良い例です。確かに、Douyinの動画は政治的に検閲されていますが、Tiktokの動画よりもずっと脳に良いです。Tiktokのアルゴリズムは広告のインプレッションと利益を最適化していますが、Douyinのアルゴリズムは、良いか悪いかは別として、儒教の社会的調和という曖昧な概念に調整されています。もっと微妙な見方をすると、中国政府の行動を「政治的異議を抑圧する量」に単純にマッピングするのは有用ではないと思います。実際、検閲のレベルはそれに必要なレベルを超えていると思います。「政治的異議を抑圧すること」は、儒教の「社会的調和を促進すること」の一部であると認識する方が有用です。これはアメリカではあまり重視されていませんが、中国では少なくとも口先だけでも重要視されています。政府の教育を受けたメンバーの中には、その理想を本当に信じている人がいるのではないかと思います。これが「DouyinのアルゴリズムがTiktokとこんなに違う理由」や中国政府の他の行き過ぎた行動を説明しています。これは単に異議を抑圧することだけではないのです。

先日「Not Another One」というイギリスの政治ポッドキャストを聞いてたんだけど、西側諸国の中でイギリスのポルノブロックを見ているところがあるって話をしてた。一般的に政治家たちは、子供たちが極端なコンテンツにアクセスできることが行き過ぎだと思っているらしい。20年前にこれが現状になるなんて提案されていたら、受け入れられなかっただろうって。具体的には、イギリスで非常に露骨な本を出版したい場合、猥褻出版法が制限をかけるけど、オンラインにするのは許可されるって例を挙げてた。

これを真似して自分たちのファイアウォールを作るだろうね。ほとんどの企業はすでに自分たちのネットワークで何らかの形でこれを使っていて、特に銀行や金融関連の業界のような厳しく規制されたセクターでは顕著だよ。もっと有用で、もしかしたら「反対側」として、広告や他のコンテンツを「検閲」するためにリクエストをブロック・修正するプロキシを自分のネットワークに持ってる。

元々のGFWはシスコが作ったもので、技術はもう西側にあるんだよね。あとはそれを使う理由が必要なだけ。中国は輸出に依存してるから、全部をブロックするわけにはいかないし。中国にはGFWを回避するためのプロキシサービスがたくさんあって、その多くは政府のバックグラウンドがあるんだよ。

私の理解では、すべての反対意見や認識を止めることが目的じゃなくて、「噂」や煽動的な情報がウイルスのように広がるのを遅らせるのが有用なんだよね。そうすることで、必要に応じて当局が対応を考える時間ができる。個人的には、こんな国には住みたくないけど、文化的に準備ができていない国での無制限のウイルス性拡散は、インドのWhatsAppリンチ事件みたいなことを引き起こす可能性がある。アメリカがインターネット上の多くのことをコントロールしているから、他の国々(中国はあまり関係ないけど)にとっては、コントロールがないとアメリカの影響キャンペーンや「カラー革命」に非常に脆弱になるんだよね。最終的には、すべての国がGFWのようなものを持つことになると思う。政府が「インターネット主権」を達成するためには、他に方法がないから。アメリカは、他の国に対して大きな圧力をかけられる立場にあるし、自国の法制度を使ってアメリカの大手インターネット企業に規制をかけられるから、最後までやらないかもしれない。

私は、ヨーロッパの国からrt.comにアクセスするにはVPNを使わないと無理だよ。これが第一歩。次のステップは来るだろうね。私たちの政府は、市民からコンテンツをブロックすることに対して意欲的で(部分的に)能力があることを示してる。つまり、プーチン支持だったり、ロシアでどんな意見が流れてるかを学ぼうとしたりすることも含めて。さらに、政府の大部分はChatControlのようなひどいものを実施する意欲がある。だから、自国民に対して極めて侵入的な監視技術を向けることも厭わない。1+1=2。ヨーロッパの「ファイアウォール」に必要な条件はすべて整ってる。ちなみに、ファイアウォールって言葉が嫌い。防御ツールのはずなのに、これらの検閲ツールは私たちの自由への攻撃だよ。上司にアクセスを許可されていないものにアクセスしようとするたびに、「この情報を見ることは許可されていません、市民よ。」って頭の中で聞こえる。

俺はまだ、誰もが積極的に目指してるゴールだとは思わないし、ちょっと誇張しすぎな意見だと思う。これがピンク・フロイドが言ってた「心地よく麻痺した」ってことなんだよ。大衆の認知的不協和と否認だね。

中国共産主義がどれだけひどい状況なのか、国民が情報にアクセスしたり異議を唱えたりするのを防ぐために、こんなに大規模な努力が必要なんだろう。最初の反応が政府の無能を隠すことだというのが理解できない。他にも大衆の言論や情報をコントロールするインセンティブがあるはずだよ。

確か、QUICトラフィックはMITM技術を使って攻撃するのが不可能だよね。じゃあ、GFWはどうやって対処してるんだろう。完全にブロックしてるのか、それとも何かしらフィルタリングしてるのかな?

https://gfw.report/publications/usenixsecurity25/en/#3によると、彼らはTLSのハンドシェイクからSNIをスニッフィングしているらしい。

QUICがHTTP1.1や2よりもMITM攻撃に対して特別に強いわけじゃないと思うんだけど。私の知る限り、MITM攻撃を防ぐ唯一のものは証明書なんだよね。もしある権威がそのルート証明書を信じさせてスパイするなら、QUICでも変わらないよ。

それは違うよ。QUICの暗号化されたトラフィックはMITM攻撃から守ってくれない。

QUICやTLSは必要ないよ。他の暗号化されたチャンネルも同じ保護がある。そういうチャンネルを特定してブロックするのは難しくない。ウェブサイトとやり取りするための接続は、特定の接続を通じて全てのトラフィックを送るユーザーとは全然違うトラフィックパターンを持ってるからね。それに、YouTubeみたいな大手の動画ストリーミングサービスは、中国ではすでにブロックされてるから、VPNを使っても平文のバイトを見なくても明らかになるよ。もちろん、QUICみたいな一般的なプロトコルには独自の解決策があるけど(別のコメントにリンクあり)、要するに、暗号化されたSNIがあっても、検閲に対抗するためには専用の反GFWプロトコルが必要だってことだよ。ほとんどの消費者にうまく機能するプロトコルは、しっかり資金がある専用のファイアウォールによる分析からは守れないんだ。

私は以前、GFWの顧客でもある国に住んでたことがある。v2rayが出る前に、ランダムなプロトコルを考えればそれを突破できるって気づいたんだ。SSH接続を使ってsocks5を通すときに、ROT13とか任意のROTnを使ってたら、ファイアウォールが数キロバイト後に徐々に遅くなることがなかったんだ。OpenSSHは接続時に名前とバージョンをプレーンテキストで叫ぶからね。数年後(まだv2rayの前だけど)、彼らはもっと攻撃的になった。未知のプロトコルは数キロバイト後に停止されたんだ。それで、合法的なことをしているふりをして、正しいHTTPチャネル内でfavicon.icoをダウンロードしているふりをしたら、私の「パケット」に手を出さなかったんだ(faviconの内容が私のパケットだった)。Iodineプロジェクトもpingパケットで同じことをやってたけど、私にはfaviconをパケットとして使う方が速かった。今日、v2rayはそれを最大限に引き上げて、IPのための有効なウェブページフロントや有効なhttps証明書を提案してるね。お金を稼ぎ始めたとき、たくさんのIPを借りて、トラフィックをラウンドロビンで送ることを考えてた。検出がIPの一貫性に依存してたから。つまり、接続はIPでフィンガープリンティングされてた。もうそこには住んでないからこの仮説を検証できないけど、漏洩したソースコードを見ると面白い週末プロジェクトになるね。もう一つ面白いのは、漏洩したソースファイルのリストにあるトラフィックデコーダーを見たら、TCP、HTTP、QUICはあったけど、UDPの言及はなかったこと。GFWを回避するのに違いはなかったと思う。UDPでも同じIPレートリミッターが低いレベルで働いてたんじゃないかな。

自分の経験から言うと、同じIPで3年間稼働しているアウトラインサーバーは、最初に接続してから約3日後にGFWにブロックされることが多かった。アウトラインはshadowsocksを使って隠蔽してるけど、トラフィック検出が3日間の観察の後にトリガーされるんじゃないかと思ってる。複数のサーバーを運営して、それを繰り返しサイクリングするのは、次回そこに行ったときに試してみたい実験だね。バックアップとして使っているVPNでも似たような挙動を観察していて、使っているサーバーも同じくらいのタイミングでブロックされることが多い。オープンVPNやワイヤーガードを使っているけど、自分を隠蔽しようとはしていないから、トラフィックパターン分析がブロックされる要因としてプロトコル自体よりも大きな役割を果たしているんじゃないかな。最近の一週間の旅行では、主に二つのサーバーをサイクリングしていて、どちらもブロックされていることに気づかなかった。

SSH接続をsocks5用にROT13か何かのROTnで通すと、ファイアウォールが数キロバイト後に徐々に遅くなることがないんだ。OpenSSHは接続時に名前とバージョンをそのままテキストで叫ぶから、もう少し詳しく教えてくれない?もしまだツールやスクリプトがあれば、実装について掘り下げたいんだ。ここ数年、情報を隠すためにexfilネットワークプロトコルを使ったwarps [1]ソフトルーターのプロトタイプに取り組んでるからさ。(DNS/HTTPスムグリングみたいな感じだけど、他のネットワークプロトコルでも同じ技術を使うアイデアだよ)[1] https://github.com/tholian-network/warps

漏洩の背後にいる中国のスノーデンは誰なんだろう。

そうだね…誰にもバレないことを願ってるけど。

この議論、悪魔の代弁者だらけだな。社会はめちゃくちゃだよ。

笑ったw

こういう装置がどこにでも存在するように、コントロールされた努力があるんだよ。

突然、全てのリーダーが自称独裁者になってる。西側の民主主義者たちも、民主主義を気にしてるフリをするのが好きなだけだね。

政府が普通の市民に対して技術的な管理手段を実施する必要を感じると、その時点で市民が政府の権限に対して持っていた強いリードが切れちゃうんだ。大規模な検閲、監視、プライバシーの侵害は人間の尊厳と相容れない。オンライン検閲を「大義のため」に推進する純粋に功利的な立場は、「テロ」や「子供の安全」といった理由を利用して、第一義的な結果以上のことを考慮していない。政府が検閲という強力な酒を味わったら、そのボトルは二度と栓をされることはないよ。権力者にとって脅威となることが起きたら、悪いポルノサイトやテロリストだけじゃなく、もっと広範囲にその検閲を使うのは間違いない。今回のGFWの漏洩が、研究者や趣味の人たちが政府による個人の尊厳の侵害に対抗する方法を見つける手助けになればいいなと思ってる。

どんな失敗した人間になったら、そんなものを作る才能を注ぎ込むんだろうね…

広告をブロックするためのシンプルなファイアウォールがあればそれで十分なんだけど。