中国のグレート・ファイアウォール（GFW）史上最大規模の内部文書流出：GeedgeおよびMESAに関する分析

(gfw.report)

24 ポイント投稿者 GN⁺ 2025-09-15 | 8件のコメント | WhatsAppで共有

中国のグレート・ファイアウォール（GFW）の内部文書、ソースコード、作業ログなど500GB超の流出が発生
流出資料はGeedge NetworksとMESA Labに由来し、中国および複数国の検閲・監視技術が含まれる
600GBを超える多様なファイルが公開されており、アクセスや分析の際にはセキュリティ上の注意が必要
GeedgeとMESA LabはGFWの研究開発中核組織であり、中国の機関および一帯一路諸国向けの技術輸出を担っている
現時点ではソースコードの詳細分析は未実施であり、今後の分析結果はGFW Reportなどで継続して提供される予定

1. 紹介

2025年9月11日、**中国のグレート・ファイアウォール（GFW）**の歴史上最大規模の内部文書流出が発生
今回の流出には、500GB超のソースコード、作業ログ、内部コミュニケーション記録など広範なデータが含まれる
流出資料の出所は、GFWの中核技術グループであるGeedge Networks（主任科学者 Fang Binxing）とMESA Lab（中国科学院情報工程研究所）
文書によれば、これらの組織は新疆、江蘇、福建など中国国内の地域だけでなく、一帯一路などの枠組みを通じてミャンマー、パキスタン、エチオピア、カザフスタン、その他の国に検閲および監視技術の輸出を行っている
データ規模と影響が極めて大きいため、GFW ReportやNet4Peopleなどで分析と更新が継続して行われる予定

2. ダウンロードリンク

Enlace Hacktivista サイトを通じて約600GBの流出ファイルにアクセス可能（TorrentおよびHTTPS直接ダウンロード）
- mirror/repo.tar アーカイブファイルだけで500GBを占め、全ファイル一覧とサイズ情報も提供されている
ファイル利用に関する詳細な案内は、David FifieldがNet4People（GitHub）で説明している

3. セキュリティ上の注意事項

流出資料が非常に機微な性質を持つことを強調しており、ダウンロード・分析時には運用セキュリティ環境が必須
ファイルに潜在的な危険要素（監視・マルウェア）が含まれる可能性があるため、インターネット接続のない仮想マシンなど隔離環境での分析を推奨

4. 背景

**グレート・ファイアウォール（GFW）**はインターネット検閲システムの総称であり、機関や企業が各種契約に応じて役割を分担・協力する構造となっている
今回の流出元は、GFWの研究開発（R&D）中核組織であるGeedge NetworksとMESA Lab
MESA Labは中国科学院情報工程研究所の傘下にあり、Fang Binxingが主導していたNELIST（2008年〜）から発展した
MESA Labの沿革には、2012年のチーム正式命名（MESA）、主要サイバーセキュリティプロジェクトの遂行、人材プログラム受賞歴、大規模エンジニアリング配備と研究者採用、各種国家科学技術賞の受賞記録などがある
2018年にGeedge Networksが設立され、中国科学院および主要大学出身の人材が中核メンバーとして合流した

5. ソースコード以外のファイル分析

流出ファイルのうちソースコード以外の文書については、すでに複数の専門チームが詳細に分析している
David Fifieldが関連報道と技術分析を整理中
ただし、ソースコードファイルに対する分析はまだ未完了

6. ソースコードファイル分析

ソースコード部分は、まだ体系的な分析が行われていない状態
今回の流出は重要かつ影響が大きいため、分析内容は本ページやNet4Peopleなどで継続的に更新される予定
分析・問い合わせ・意見・追加資料などは公開／非公開の形でGFW Reportを通じて収集・案内する

参考

本レポートはGFW Reportで最初に掲載され、分析状況や資料はNet4Peopleなどで引き続き共有される

8件のコメント

ndrgrd 2025-09-15

巨大な独裁集団が結託して数億人もの人々を監視し……まるでディストピアSF小説のような話だが、それが現実の世界で起きているというのが実に

egirlasm 2025-09-16

エドワード・スノーデン事件のこともまだ生々しいのに、独裁者がどうこうとか、ここでもこんなコメントを見なきゃならないなんて、まさか 2回目の支持者？どうか部屋にこもってコーディングばかりしていないで、世界のあちこちを見て回ってほしいです。

regentag 2025-09-17

政治の話はさておき、いったい何が言いたいのですか?
文章の流れと文脈がまったく理解できません。

crawler 2025-09-16

どこを見ても韓国の話はないのに、どうして急に韓国政治の話が出てきたのか分かりませんね

サイトから出ていってください
あなたのような政治脳はこのコミュニティには必要ありません

ndrgrd 2025-09-16

おっしゃっていることだけを見ると、インターネットの世界で長く生きてきて、現実ではまともなコミュニケーションをほとんど築けていない方のように見えます。
部屋にこもってこんなコメントばかり書いていないで、あちこち出歩いて「実際の人たち」と交流しながら暮らされたほうがいいと思います。

ndrgrd 2025-09-16

私はその政党を支持していません。
「2を選んだ人」などと決めつける態度をどこで覚えてきたのか知りませんが、無礼で品のない人間に見えます。
他人について何も知らないのに人生に説教をするのは、嘲笑を買うような行為です。あなたは私よりどれほど立派なのですか？
その事件が起きたからといって、今の独裁者たちがこのようなことを行うのが普通で驚くに当たらないことになるわけではありません。

cnaa97 2025-09-15

ビッグブラザーのソースコード流出！

GN⁺ 2025-09-15

Hacker Newsの意見

ここには興味深い分析と議論がある
- 2018年の設立以来、Geedgeの最初の顧客の中にはカザフスタン政府があり、同社の代表製品であるTiangou Secure Gateway (TSG) を販売していた
- このソリューションは中国のGreat Firewallのように、すべてのWebトラフィックを監視・フィルタリングし、回避の試みまで統制する
- 同じツールがエチオピアやミャンマーでも導入され、VPN禁止を効果的に施行するために活用された。Geedgeは現地の通信事業者（Safaricom、Frontiir、Ooredooなど）と協力して国家検閲システムを構築した
- 内部資料の流出により、Geedgeの従業員が主要なVPNツールをリバースエンジニアリングして遮断方法を探す過程が明らかになった。具体的には9つの商用VPNが「解決済み」とされ、それらのトラフィックを検知・遮断するさまざまな手法が適用されている
- 中国国内では商用VPNの大半が接続不能な状態であり、主要な反検閲ツールも同様にアクセスが非常に困難である
- 流出文書には平文メールのキャプチャ情報まで含まれている
- 最近のロシアによるVPN遮断の流れも、このような技術を使っているのではないかと推測している
  - ロシアのファイアウォールが疑わしいwebsocketエンドポイントを直接「ノック」したり、トラフィックの多いssh接続を切断したりするやり方を見ると、ロシア政府が中国のフルスタックを購入して使っているように思える
- 平文メールのキャプチャへの言及を見て、西側諸国も同じようなことをしていないはずがないと思う
  - こうした状況が日常的な現実であることを皆が認識して行動すべきだと述べている
政府が市民に対して技術的統制装置を導入すると、国民が持っていた政府への抑止力が失われる点を強調している
- 大規模な検閲、監視、プライバシー侵害は人間の尊厳と両立しない
- テロ対策や児童保護などの「公益」を掲げたオンライン検閲の功利主義的論理は、一次的な効果だけを見てそれ以上の影響を無視している
- ひとたび検閲の甘い味を覚えた政府は、決してその酒瓶に再び栓をしない
- 結局は危険または不快なコンテンツだけを遮断するにとどまらず、権力を守ろうとする勢力の利益のために恣意的に検閲が拡大する
- 今回のGreat Firewall関連の流出が、研究者や活動家たちが検閲に抵抗する新たな方法を見つける助けになることを願う
- 君は戦場を根本的に誤解している、という短い指摘がある
- ネパールの若者たちが今月初め、政府による大規模なソーシャルメディア遮断に対抗して自ら建物に火を放ち、国会議員を追い払った事件を例に挙げ、本当にその「酒瓶」に再び栓がされたこともあると語っている
- ドイツの事例を思い起こし、GFW流出が役に立つという楽観論に警戒している
こういう道具を作ることに自分の才能を使おうと決めた人間は、いったいどれほど失敗した人間なのかと自問してしまう
- 金になるなら誰かが必ずやる。あるいは無理やりやらされることでもある
  - 残念だが、ほとんどの事柄について常にそう考えて動かなければならないと強調している
以前GFWを使っている国に住んでいた経験を共有している
- v2ray登場前は、任意のプロトコルを使えば回避に成功することがよくあった
- SSH接続をsocks5にして、ROT13や任意のROTn暗号化で包むと、ファイアウォールが数KB後に徐々に速度を落とす症状を避けられた
- OpenSSHは接続時に自分の名前とバージョンを平文でさらすため、予測しやすかった
- 時間がたつにつれてファイアウォールもより積極的になり、未確認プロトコルの速度を即座に落とし始めた
- 正当なHTTPトラフィック（たとえばfavicon.icoファイルをダウンロードしているように見せかけること）を真似すれば、中身のパケットだけを安全にやり取りできた
- Iodineプロジェクトもpingパケットで似た試みをしていたが、速度はもっと遅かった
- 今日ではv2rayは、有効なWebページの見た目や証明書まで含め、できる限り本物のトラフィックに見せかけて回避することを推奨している
- 稼げるようになってからは、多数のIPにラウンドロビン方式でトラフィックを送ることも考えた。一貫したIPでフィンガープリントが作られるからだ
- もうその国には住んでいないのでこの仮説を試してはいないが、ソース流出を見て面白い週末プロジェクトになるかもしれないと思っている
- TCP、HTTP、QUICなどのトラフィックデコーダは明示されていた一方、UDPはなかったが、回避には影響しなかった。おそらく同じIPレート制限が下位レベルでUDPにも作用していたのだろう
- 自分の経験を加えると、同じIPでOutlineサーバーを3年間運用したところ、GFWはいつも約3日後にそのIPを遮断した
  - Outlineはshadowsocksでトラフィックを難読化しているが、3日間の観測後に遮断されると見ている
  - 複数サーバーを回し続ける実験を次回の訪問時に試してみる予定だ
  - バックアップ用VPN（openvpn/wireguard使用）も同じように約3日後に遮断された
  - 最近1週間、2台のサーバーだけを交互に使っていたところ遮断されず、興味深かった
  - プロトコルよりもトラフィックパターンのほうが、より重要な遮断要因だと推測している
- SSH接続をROT13やROTnで包むとファイアウォールの遮断を避けられるというアイデアについて、もう少し説明してほしい
  - 自分でも実装してみたいので、スクリプトやツールが残っていれば見てみたいと言っている
  - ここ数年、exfil技術を活用したwarpsソフトルーターのプロトタイプを作り続けており、DNS/HTTPスマグリングを超えて他のネットワークプロトコルにも同様の方式を適用することに関心がある
  - 自分のプロジェクトの参考リンク: https://github.com/tholian-network/warps
今回の流出の背後にいる「中国のスノーデン」が誰なのか気になる
- 誰にもその人が絶対に見つからないことを願う
QUICトラフィックはMITM手法では攻撃できないと理解していたが、GFWがこれをどう扱っているのか気になる。完全に遮断するのか、フィルタリングだけなのか疑問だ
- QUICだけでなくTLSやその他の暗号化チャネルも同様に保護できる
  - それらのチャネルを識別して遮断すること自体は難しくない
  - 正常なWebサイトへのアクセスと、ユーザーが全トラフィックを1つの接続に流すことでは、トラフィックパターンが大きく異なる
  - たとえばYouTubeのような大容量動画サイトはすでに中国で遮断されているため、VPNトラフィックは非常に簡単に標的になる
  - QUICなど主要プロトコルには、それぞれ専用の対処手法が用意されている
  - プロトコルだけでは答えにならず、実際にGFWと戦うには専用の反検閲プロトコルが必要だ
  - 汎用的で広く使われるプロトコルでは、ファイアウォールのパターン分析を回避できない
- https://gfw.report/publications/usenixsecurity25/en/#3 のレポートによれば、中国のファイアウォールはTLSと同様にハンドシェイクでSNI情報をsniffして遮断する
- QUICがなぜHTTP1.1や2と、MITM攻撃の観点で違うことになるのか疑問だ
  - MITMを防ぐのは結局証明書だ
  - 当局がルート証明書を強制的に信頼させれば、QUICでも大差はない
- QUIC暗号化トラフィックがMITMを防いでくれるというのは事実ではない
- 通常は接続先IPなどのメタデータや、ダウングレード攻撃に依存する
  - すべてのサーバーがQUICをサポートするようになるまでは、ファイアウォールはサーバーがQUICをサポートしていないふりをできる
  - Cloudflareを使った回避が安全だと思うかもしれないが、実際にはスペインがサッカーの試合中にCloudflare全体を遮断したこともあり、安心はできない
こうした検閲システムが各地に敷かれているのは、統制された努力に支えられた結果だと見ている
- 突然、すべての指導者が独裁志向に変わったように見える
  - 西側の民主主義国家の指導者でさえ、民主主義を重視しているふりをしているだけで、本質は同じだ
広告だけをブロックしてくれるシンプルなファイアウォールが必要だ
最初は英国など西側諸国がこうしたシステムを模倣するのではないかと懸念していた
- 今すぐ皆が積極的に追随しようとしている目標だとは思わないが、単なる取り越し苦労でもない
- 実際のところ、私たちはこうしたシステムの方向へさらに近づいている
- 中国共産党が市民の情報アクセスや反対意見の表明を止めるために、このような巨大システムを動員しなければならないという事実は、体制が十分におかしくなっていることを示している
- 私たちは比較的自由な社会に生きていて幸運だ
- インターネットは政府介入と検閲にますます押されているように見える。望ましいことではないと感じる
- こうしたシステムの目的は、あらゆる不服従や認識を根本から遮断することではなく、噂や扇動的情報がバイラルに広がる速度を遅らせることにある
  - そうすることで、政府は必要な対応を準備する時間を稼げる
  - 制限のない情報伝播は、社会的に準備の整っていない地域では、インドのWhatsAppリンチ事件のような副作用を生むことがある
  - 米国が世界のインターネットを実質的に主導している状況では、統制装置のない国家は各種の影響力工作やカラー革命に脆弱になる。（中国は例外）
  - 結局、すべての国家が自国版GFWを作ることになり、インターネット主権を確保するためには他に選択肢がない
  - 米国は強力な影響力と、自国内のインターネット企業に適用可能な法的手段を持つため、最後に導入するだけだ
- 英国の政治ポッドキャストNot Another Oneを聴いたが、英国のポルノ遮断政策は過度なコンテンツアクセス統制として海外の政治家からも注目されていると述べていた
  - 20年前なら、「子どもがこのような極端なコンテンツにアクセスする」という状況は想像すら難しかった
  - 英国では扇情的な本の出版はObscene Publications Actsで規制されるが、オンラインでは許容されてきた構造になっている
- そもそもGFWはCiscoが作ったもので、西側も関連技術はすでにすべて持っている
  - 名目さえあればいつでも展開可能だ
  - 中国は輸出に依存しているため、すべてを止めることはしない
  - プロキシサービスも多いが、その大半は政府背景を持っている
- 実際、ほとんどすべての企業も社内でこうしたシステム（プロキシ・ファイアウォール・コンテンツフィルタ）の一部を使っている
  - 特に金融、銀行など規制の強い業種では一般的だ
  - 私も自分のネットワークで、広告など望まないコンテンツを任意にフィルタするプロキシを動かしている
- 中国共産党が市民の意見を抑え込むほど体制が脆弱だと見る解釈について、OpenAIの事例になぞらえて説明している
  - AIモデルではアーキテクチャよりもデータ品質が重要であるように、人間にとっても注入される情報の質のほうが重要なのだ
  - Great Firewallの主目的は政治的反対派の検閲だが、一方で中国市民が「ジャンクフード」的なメディアに溺れないようにする要素もある
  - Douyin（中国版TikTok）は政治的検閲が強いが、動画の品質はより「健全」だ
  - Douyinは社会的調和、Tiktokは広告収益最大化という、アルゴリズムの価値観の違いが大きい
  - 中国政府の行動は「政治的反対の抑圧」だけでは説明が不十分で、儒教的な「社会的調和」の実現という、より大きなミッションの一部として見ることができる
  - これはDouyinとTiktokのアルゴリズムの違いなど、政府の行動（過剰規制を含む）をよりよく説明する。「反対の抑圧」だけが基準ではない
この議論全体が悪魔の代弁者だらけに感じられる
- 社会が壊れてしまったことを表現している