1 ポイント 投稿者 GN⁺ 2025-08-25 | 1件のコメント | WhatsAppで共有
  • ドイツの大手インターネットサービスプロバイダ(ISP) が最近、内部組織であるCUIIを公表した直後に、DNSの動作方法を変更
  • CUIIはウェブサイトの遮断リストを公開しておらず、筆者は遮断の有無を確認できるサイトを制作
  • ISP各社は遮断の事実を隠すため、DNSで遮断されたサイトを存在しないかのように表示し始めた
  • 最近Telefonicaが自社のテスト用ドメインを遮断した後、筆者のサイトを訪問して検知されるかどうかを確認
  • これによりTelefonicaは遮断シグナルを隠蔽し、結果として透明性と監視が弱まった

ドイツのISPによるCUII遮断リスト関連DNS操作の背景

ドイツを代表するISPの1社が、内部組織(CUII)の実態を公表した直後にDNSの動作方法を変更した
CUII(インターネット著作権クリアリングセンター)はウェブサイトの遮断可否を決定しており、法的審査や透明性なしに大手ISPと著作権者が任意にリストを運用する民間組織である
筆者は、CUIIが遮断リストを非公開で運用しているため、誰でも遮断されたドメインを照会できるサイト(cuiiliste.de)を開発した
ドイツの最大手4社のISP(Telekom、Vodafone、1&1、Telefonica(o2))はすべてCUIIの一部である

CUIIの繰り返されるミスとDNS遮断方式の変化

最近、Netzpolitik.orgは、CUIIがすでに閉鎖されたドメインまで遮断するミスについて、筆者が提供した情報をもとに報じた
従来は、ISPのDNSで遮断されたサイトを要求すると notice.cuii.info にリダイレクトされるため、遮断の事実を簡単に確認できた
しかしCUIIは、遮断リストを秘密に維持するため、この確認方法を止めさせ始めた
一部のISPは、DNSで遮断されたサイトを最初から存在しないものに偽装している
例外的にTelefonica(o2)は、依然として notice.cuii.info 応答方式を維持していた

ブログサイトでドメイン遮断確認トラフィックが発生

cuiiliste.deでは、誰でも入力したドメインがCUIIによって遮断されているかをISPごとに照会できる
Telefonicaが所有するテスト用ドメイン blau-sicherheit.info を遮断した後、自社ネットワークから筆者のサイトを訪問し、検知可能性のテストを行った
筆者のツールは、このドメインがCUIIによって遮断されたことを正確に検知した

  • TelefonicaのDNSはテスト用ドメインを遮断状態として応答
  • Telefonicaのネットワークから筆者のウェブサイトにアクセス
  • 遮断有無の検知に成功

Telefonicaの遮断方式転換と筆者サイト妨害の疑い

その後およそ2時間で、TelefonicaはDNS遮断方式を**notice.cuii.info へのリダイレクトから、入力ドメインが存在しないと返す方式へ変更した
この結果、筆者のシステムは
数百件の遮断解除を誤検知**し、緊急の修正作業が必要になった
パッチ適用後も遮断検知の難易度は上がった
現在は、CUIIによる遮断ではなく他の理由で遮断された事例(例:テロ関連)と区別するため、CUII以外の遮断ドメイン一覧とのクロスチェックを行っている

背景と透明性低下の問題

こうした変化は、CUIIが不正確な遮断で批判を受けている時点で、監視と透明性を回避する目的として説明できる
結局のところ、市民の知る権利と監視体制の弱体化につながり、CUIIとISPにだけ有利な構造が形成される

関連記事と参考リンク

1件のコメント

 
GN⁺ 2025-08-25
Hacker Newsのコメント
  • ドイツには Clearingstelle Urheberrecht im Internet(CUII)という組織があり、インターネット著作権に関する民間団体として、ウェブサイトのブロックを決定している。裁判官も透明性もないまま、ISPと主要な著作権者が何を見られるかを決める構図になっている。ただし、彼らの公式ページ(cuii.info/en/about-us/)によれば、「裁判所によるブロック手続きの実施と裁判所命令の執行を調整する」とされている。つまり裁判所命令にのみ従っているようにも見えるが、その記述だけでは他のサイトのブロックを排除しているとは言えない
    • このブログ記事はページが変更される前に書かれたもの。Web Archive版では、CUIIはドイツ国内の独立機関として、著作権侵害が明白なサイトのブロックが合法かどうかを公正に審査すると説明されている。申請があると、審査委員会が全会一致で「明白な著作権侵害」である場合にのみ DNS ブロックを勧告し、その勧告はドイツ連邦ネットワーク庁(BNetzA)に送られる。BNetzA が確認して問題がなければ、ISP にブロック指示が出される。そして同じ著者が最近の版を扱った新しいブログ記事では、現在は裁判所命令後のブロックだけを調整すると述べている。「もはや秘密投票も企業検閲もなく、新しいウェブサイト版では法的なブロック命令のみを実施すると説明している」
    • ブログ記事は2月に書かれ、その後 CUII は、裁判所命令が来るまで内部グループが任意にブロックしていた方式から、裁判所命令に含まれたドメインのみを厳格にブロックする方式へ移行した。以前は「類似の先例」があるとして裁判所命令なしでもブロックしていたが、規制当局の指摘を受け、現在は裁判所命令のない恣意的なブロックをやめている
    • まるで「昔は政治腐敗がひどかった。今もあるが、昔のほうがもっとひどかった」といった話のようだ
    • タイトルには誤解を招くところがある。実際に著者のサイトの DNS がブロックされたのではなく、CUII が自分たちのサイトの DNS を自らブロックし、著者が DNS ブラックリストをどう検知するかを試したうえで、その後戦略を変更したという話だ
  • CUII のブロック手続きが、今では恣意的な企業判断ではなく裁判所命令ベースに変わった点は踏まえておく必要がある 関連ブログ
    • 残念なのは、以前にブロックされたドメインがそのまま残っていることだ
    • 今リンクされた記事によれば、現在も問題のある(悪質な)ブロックリストは維持されており、ただ新規追加されていないだけの状況らしい
    • CUII が本当にやめたのか、それとも単に監視を避けてブロックを隠す方法を見つけた後で、やめたふりをしているだけなのか、どうすれば分かるのだろうか
  • 西洋では伝統的に著作権を通じて検閲が行われてきた。金やビジネスを名目にすれば検閲とは見なされなかった。しかし今日では、米国は力と排除によって自己検閲を強い(例:公職から外される不利益、米国入国制限など)、欧州はまた別の方法を見つけている。このように安全と統制を誰もが求める結果、もはや技術的解決策だけが答えだという発想になっている。法的・政治的なやり方は通用しない。自由は「空虚な流行」になり、それを主張する人々も結局は自分自身のための自由しか望まない。人類を宇宙へ送るべきだと言う者が、地球上では「許可なく移動した」という理由で拘束された人々とポーズを取るという皮肉。だから、こうした検閲に関心のある技術者なら、既存のウェブサイトではなく新しいツールが必要になる。主流は結局、支配勢力の望むように制御されるしかない
    • 以前は法で解決したいと思っていたが、今は技術的解決に共感する。90〜00年代、現実空間で自由が縮小する中、若い世代はインターネットに逃げ道を見いだした。家を建てたり起業したりするのは難しくても、サイトを作ることは比較的自由だった時代があった。しかし今は政府や利害関係者がインターネットにも介入し、かつてのような自由は失われつつある。AIコンテンツやボット、検索の困難さ、人間認証などでインターネットはどんどん息苦しくなっている。だから freenet、yggdrasil、alfis、gemini、reticulum、B.A.T.M.A.N のような新しいネットワーク空間を作る必要を感じるし、そういう場所は面白くもある。政府がそこまで追ってくるにも時間がかかるだろう
    • 米国に住んでいるが、今の自由の流れには共感しない。私は米国が目指していた原則(少なくとも善意に基づくもの)を支持している。警察や軍人など個々人は擁護するが、彼らが遂行しなければならない権威主義的な命令は支持しない。多くの人は法と秩序、皆の保護のために入隊したのであって、悪いことをしたいわけではないのに、構造がそれを強いているように感じる。テキサスのゲリマンダリング法が通過し、自浄作用を期待するだけでは駄目だろう。宇宙進出は、生命や他の空間を害さない限り挑戦する価値があると思う。すべての生命はいずれ何らかの理由で移動を必要とする
    • 「このウェブサイト自体も検閲に関するものであり、関心のある人はウェブサイトを使うべきではない。新しいツールが必要で、主流は結局支配勢力に制御される」という主張について、実際にどんな姿になるのか想像しにくい。タイミング的にすでに手遅れではないかという気もする。端末認証(Device attestation)がますます強制され、パスキー(passkey)も急速に導入されている。プロトコルの代替は作れても、結局は権力集団の黙認が前提になる。Signal、VPN、BitTorrent、Tor でさえ、いつか止められるかもしれない。結局、大多数が Apple や Google のようなビッグテックに制御されたデバイスを使うなら、どんなプロトコルも役に立たない可能性がある
    • 商業的検閲は広く受け入れられているが、「公共の善」のための検閲も、実は本質的にはそれほど違わないかもしれないという興味深い考えだ。結果として、自由が過度に侵害される危険性は常にある
    • 「西洋での検閲は著作権という権利を通じて行われ、金やビジネスを名目にすれば検閲とは見なされなかった」という表現に対しては、二つの文が矛盾しているように思う。著作権による検閲とビジネス目的の権利主張は結局同じに見える。伝統的に片方だけを検閲と見なさなかったというのは論理的に矛盾しているようだ
  • 検閲が増えるほど、ISP が手を出せない本当に検閲不能なプロトコルを構築する動機が生まれる
    • こうしたプロトコルや改良案はすでに存在する。たとえばサイトごとの DNSSEC、ユーザー側の DoT/DoH などで、ISP による悪意ある応答改ざんを防げる。ただし現実には広く使われておらず、ISP は SNI 検査や IP ブロックなど、より回避しにくい検閲手段を導入できる
    • 結局、すべては物理ネットワーク層に従属している。その層を支配する者はいつでも通信を止められる。ISP が手を出せない唯一の真のプロトコルには巨大な軍隊が必要で、その軍隊が自ら妨害しないよう動機づけなければならない
    • 既存のプロトコルの例としては、I2P ルーターでダークネットを構築する、Yggdrasil で次世代の分散型プライベートインターネットを作る、あるいは単純に暗号化 DNS(Njalla DNS、Mullvad DNS)を使う、または良い VPN(Mullvad など)を使うことが勧められる。同時に、プライバシーを守る政治に投票し、議員に手紙を書くような行動も並行して行うべきだ
    • 代替プロトコルが実運用で広く普及しにくい問題もある。平時にこうしたツールを使うと「標的」になりかねない。たいていは災害や大惨事の後になって初めて大衆的に採用されるという限界がある
    • 検閲が増えるのは、「回避策」を探すよりも、より良い政府を選ぶべき理由でもある。独裁を受け入れたまま回避手段だけを探すのは問題だ
  • このページの回避策は主に大手の共用リゾルバを使うことを勧めている。(もし著者が HN を見ているなら)9.9.9.9、1.1.1.1、そして特に DNS4EU サービスがどのドメインをブロックしているのか分かるとよいのだが
    • DNS4EU について初めて聞いたという反応。joindns4.eu/about のリンク共有
    • DNS プロバイダー(dns4eu、nextdns など)がどんな DNS サーバーソフトウェア(nsD、bind など)を使っているのか、あるいは自社開発なのか気になる
  • 最近の著作権取り締まりやトレント狩りの強化傾向を考えると、Proton がスイスの制度を理由にドイツへ移転を決めた点が気になる。プライバシー保護のせいで運営が難しくなるのは理解できるが、なぜドイツを選んだのかが気になる。スイスの新法案が具体的に何なのか詳しくは見ていないが、ドイツより深刻な規制だとすれば、どの点がそうなのだろうか。(ちなみに Mullvad はスウェーデン拠点)
    • スイス人として、詳しくは見ていないが、新法案ではユーザーデータの6か月保存義務が生じる予定だと理解している。もちろん歓迎できるものではないが、EU は継続的に暗号化へのバックドアを要求しており、そちらのほうがより深刻だ。結局、Proton の決定はコスト削減が大きく、スイス法は口実だという解釈になる
  • ドメインが「没収」された場合、新しい「所有者」が更新料を払うのか気になる。もし払うなら、ブロックされたドメインのコピーサイトを高額更新料の Vanity TLD に登録し、注目を集めて収益化できるのでは、という発想だ
    • ここではドメインを没収しているのではなく、ブロックしているだけだ。ISP のデフォルト DNS サーバーでネームサーバー応答だけを改ざんしている。たとえドメインを警察が没収したとしても、レンタカーの没収のように、使用料を肩代わりしてくれるわけではない
    • ドメイン没収のほうが手続き上コストがかかる場合があり、通常サイトブロックは ICANN とは無関係で、サイト運営者はドメイン所有を維持する。ISP が DNS 問い合わせ結果を改ざんする方式なので回避は簡単だ
    • 政府がドメインを没収したとしても、実際に金を払うことはないと思う
    • 第1段階(TLD を作る)以降が少し「残りはフクロウを描けばいい」みたいな発想に見える
  • ドイツはこの種の問題では本当に後進的だ。有能なエンジニアはもっと自由な国へ移住すべきだ
    • その「自由な国」がどこなのか定義してほしいという反応
    • すでにそういう現象は起きている
    • トランプ時代のアメリカも自由な世界ではないのでは、という意見
  • こうした検閲方式は、8.8.8.8 のようなパブリック DNS を使うだけで簡単に回避できるのか、という質問
    • unbound のように自分で DNS リゾルバを運用するのも一つの代替案だ