アマゾン・ジャパンが倉庫の中で新品書籍のスキャン代行サービスをすればいい

先日の日記 http://d.hatena.ne.jp/softether/20130827 で、日本の Amazon から書籍を購入し、スキャン代行業者に直接送付してスキャンしてもらい、結果の PDF ファイルをネットで納品してもらって読むという方法について書いた。ネット通販で書籍を購入し、それをスキャン代行業者に送付してスキャンしてもらったデータをタブレット等の電子端末で読むという使い方は今後ますます増えるに違いない。それならば、いっそのこと日本の Amazon が配送倉庫内でスキャン代行サービスを開始すれば良いではないか。


仮に、Amazon がスキャン代行サービスを開始するとすれば、書籍の商品ページの画面イメージは右のようなものになるに違いない。新品の書籍で、Amazon の倉庫に在庫があるものについては、スキャンを依頼するボタンをクリックすると、数時間以内に Amazon の従業員が倉庫から書籍をピックアップしてスキャナにかけ、その結果の PDF を顧客にダウンロード提供する。出版社や著作者の利益を保護するため、スキャンした書籍は絶対に再利用せず、廃棄待ちのリストに入れる。顧客からスキャン品質が不良であるというクレームを受け取った場合は、1 週間以内であれば再度スキャンする。1 週間以上経過したら、Amazon の責任で書籍を破棄する。Amazon は、スキャンした書籍を正しく廃棄している旨の監査報告書を、本社の有価証券報告書に含めることで、「実は廃棄せず再利用していた」というような不正を防止する。このようなモデルであれば、日本の Amazon の倉庫に少しの設備投資をすれば実現できそうである。


日本の Amazon では、ようやく、ごく一部の和書が Kindle 版が購入できるようになったが、未だ紙媒体でしか購入できない和書がほとんどである。ユーザーとしては、同一内容であれば、本来は電子書籍のほうが紙媒体よりも割安であることを期待しているのは確かである。しかし現状では、もし紙媒体と同一価格、または少し高めであっても電子書籍版があれば、迷わず電子書籍版を購入したいと考える人も多いに違いない。このような人は、Amazon から購入し、購入した本をスキャン代行業者に配送し、スキャン代行業者で PDF 化してもらって、これを電子端末で読んでいる。しかし、これは大いなる無駄である。それならば、最初から Amazon の倉庫の中で新品書籍のピックアップ・スキャン・破棄の作業を完結させれば良いではないか。


Amazon がスキャン代行サービスを開始すれば、別のスキャン代行業者に現物が郵送されるまでの時間を短縮することができ、PDF データの納品までの時間が大幅に短くなるに違いない。それだけではない。Amazon では、国内への書籍類の送料は無料であるが、当然、この送料には 100 〜 200 円くらいの原価がかかっている。この原価は Amazon が負担している。仮に Amazon がスキャン代行サービスを開始して、十分な数の利用者が増えれば、300 ページ程度の書籍を 1 冊スキャンするのにかかる原価は 200 円未満となるから、Amazon における「お急ぎ便 送料無料」の代わりに「8 時間以内にスキャン・無料」というサービスを実現させることができるに違いない。


現在、紙の書籍を Amazonお急ぎ便で書籍を購入すると、8 時間 〜 24 時間後くらいに現物が宅配便で届くようになっている。もし Amazon がスキャン代行サービスを開始して、同じように、8 時間後くらいにスキャンデータがダウンロード可能になるのであれば、顧客の立場としては、非常に高い満足度を得られる。


現在、書籍のスキャン代行サービスについては、一部の出版社の方々などがこれを問題視し、反対意見を主張している。しかし、もし Amazon が新品書籍のスキャン代行サービスを開始した場合は、誰もこれに正当な反対意見を述べる余地がないはずである。Amazon の新品書籍の在庫が Amazon の倉庫の中でスキャンされ、スキャンが完了した新品書籍が確実に破棄する (横流ししない) ことが Amazon によって保証されているのであれば、出版社も、取次業者も、製本・印刷会社も、この過程において全く損害を被らないはずである。なぜならば、1 冊の新品書籍が Amazon によって販売され配送された場合に生じる売上と、1 冊の新品書籍が Amazon によってスキャンされ電子データが顧客に納品されるとともに書籍の実物が廃棄処分された場合に生じる売上とは、全く同一になるからである。Amazon で顧客が実物を購入する場合と比較して、スキャン代行してもらってそのデータを購入する場合は、出版社は全く損をしない。Amazon と出版社との間に入っている取次業者各社も、出版業界関係者も、一切損をしない。むしろ、これまで紙媒体の本の受け取りが面倒であると感じて好まなかった新たな読者層を、スキャン代行サービスの出現によって取り込むことが可能になるのだから、Amazon だけではなく、出版社、取次業者、業界関係者いずれにとっても利益につながるはずである。


そもそも、書籍スキャン代行サービスに関する現在出ている正当な反対意見は、「スキャンされたデータファイルが違法コピーされ、ネット上で流通する恐れが高まる」という程度のものである。確かに、汎用のスキャン代行サービスに委託して書籍をスキャンしてもらった場合、その結果のファイルは DRM がかかっていない PDF ファイルなので、ユーザーによって簡単にコピーできる。PDF ファイルがファイル交換ソフトウェアなどを通じてネット上で流通すれば、著作権者は損害を被る。しかし、もし Amazon が新品書籍のスキャン代行サービスを行うのであれば、スキャン結果には DRM をかけて Kindle のデータフォーマット (Mobi ファイル) で Kindle 端末に配信し、Kindle 端末でのみ読むことができるという仕組みに乗せる可能である。つまり、顧客は Amazon から PDF ファイルをダウンロードするのではなく、持っている Kindle 端末でのみスキャン済みデータをダウンロードできる、という仕組みは、Amazon の現在のインフラで簡単に実現できるはずである。KindleDRM は登場後数年間それなりにうまく機能しており、今のところ、Kindle コンテンツの違法コピーが大問題となって出版社が損害を被るという話は出ていない。Amazon の側でも、Kindle コンテンツの違法コピーが増えれば自社の売上の減少につながるから、今後、容易な DRM 破りの方法が普及してしまった場合は、Kindle をその都度アップデートすることにより本気でこれを防止しようと努力するに違いない。Kindle には 3G 回線が付いているものもあるが、スキャンデータは 1 冊あたりだいたい 50Mbytes くらいになってしまうので、マンガ本と同様に Wi-Fi 経由でのダウンロードを必須にすれば、Amazon が 3G 携帯電話会社に支払う通信料金にも影響しない。


このように考えると、Amazon が、顧客が購入した書籍を倉庫内でスキャン代行してデータを DRM 付きで納品し、その書籍は確実に破棄する、というサービスを開始すれば、出版業界の各社はいずれも損害を被らず、逆に利益が増大するという、大変好ましい結果につながる。仮に Amazon がこのようなサービスを開始したとして、それに反対する声が上がるとすれば、それは「書籍を伝統的な紙の媒体で読まず、代わりに電子デバイス上で読むことはけしからん」といった、他人に対してあえて不便を押し付ける (そして多くの身体障害者の方から読書の機会を奪う)、全く尊重するに値しない古い考えを持つ人による感情論のみになるはずであり、これらは容易に無視することができるはずである。


現在、Amazon で書籍を購入し、スキャン代行サービスで電子化してもらってそれを読むという工夫には、時間や送料がかかり、また委託先のスキャン会社によって品質に不均一性があるという問題がある。Amazon が自らこのようなサービスを開始することで、健常者にとってはもちろん、手で書籍を保持し指でページめくりをすることが大変であるとか、または文字を拡大・縮小することができない書籍を読むのが難しいとか、そもそも目が不自由なので OCR をかけたテキストを音声読み上げソフトで聴いているというような身体障害者の方々にとっても、読みたい書籍を気軽に読むことができる時代が到来するはずである。このような時代は、新刊書籍の多くが紙と同時に電子書籍版も刊行されている米国などではすでに到来している。日本では、和書の電子書籍化が遅々として進まないが、Amazon のような信頼性があり流通量の大きい業者が自らこのような大胆なスキャン代行サービスを開始することが突破口になるはずである。

警察庁で VPN Gate の悪用防止・犯人追跡手法に関する勉強会を開催

2013 年 8 月 23 日 (金) に 警察庁 (霞ヶ関・警察合同庁舎) において VPN Gate の悪用防止およびログ解析・犯人の追跡などの手法を研究・議論するための勉強会が開催されました。

勉強会では VPN Gate のプロジェクト責任者が VPN Gate の技術的な仕組み、および VPN Gate を経由して違法行為が行われた場合の真の発信者の追跡方法について講演を行いました。また、VPN Gate を経由した事案が発生した場合におけるログの実践的な検索方法や、自動化されたログ検索支援システムに関して説明を行いました。その後、参加者である警察関係者の間で活発な議論が交わされました。

勉強会には、警察庁の職員と、各都道府県警察のハイテク犯罪対策関係の警察官の方々 (合計 20 名程度) が多数参加されました。

勉強会について、詳しくはこちら


Amazon で中古書籍をスキャン代行業者に送付して PDF 化してもらい Kindle で読む方法とツール

Amazon で中古書籍を購入し、書籍のスキャン代行業者 (いわゆる自炊業者) に直接送付することで、中古書籍を PDF 化してもらい、そのデータを PC の画面や Kindle で読むという方法が便利である。

Amazon では、新品の本のほか、多数の中古書籍 (古本) が販売されている。1 冊の新品の本の商品ページを開くと、たいていの場合は、中古書籍も販売されている旨が表示される。中古書籍のリンクをクリックすると、その書籍の中古書籍を販売している古本屋さんの一覧と、それぞれが提示している価格の一覧が表示される。価格は出品者が自由に決めることができるので、需要と供給によって変動する。希少な本で、すでに新品を入手できないようなもの (絶版) の場合は、非常に高額になっている場合も多い。一方、まだ新品の本が供給されている状態の本の中古書籍はとても安く、場合によっては「1 円」などの価格で販売されている。1 円といっても、その他に配送料が 250 円かかるので、最低でも 251 円からの販売になる (実際の普通郵便での配送にかかるコストは 100 円程度なので、出品者は配送料で利益を得ている訳である)。

しかし、中古書籍は新品と比較してカバーが汚れていたり、綴じ目が疲労していたり、紙が変色していたり、前の所有者の環境において付着した臭い (たとえば煙草臭など) が残っていたりする場合が多い。クリーニングを行って出品している古本屋さんもあるようだが、その場合はクリーニング剤の臭いがする。このように、新品の本と比較して、中古書籍を購入することには少し抵抗がある人も多いはずである。新品の本と、中古書籍とでは、内容は全く同じである。それでもなお、251 円で中古書籍を購入できるにもかかわらず、あえて定価の 2,500 円を支払って新品の本を購入したくなる理由は、手元に届く本がクリーンであり、紙の変色や臭いの付着などが無いという保証を得たいためである。

つまり、読者の視点で考えた場合、Amazon の同一のページに安価な中古書籍があるのにもかかわらず、定価を支払って新品の書籍を購入するという行為について考えると、定価と中古書籍の売価との金額の差の主たる要素は、「手元に届く本が衛生的に問題ないことの保証の対価」であると考えることができる。

さて、中古書籍を書籍のスキャン代行業者にスキャンしてもらい生成される PDF データを自分の PC の画面や Kindle で読む場合について考えてみる。スキャンされる元の書籍のカバーが多少汚れていたり、ヘンな臭いが付着していたりしたところで、いったんデジタル化してしまえば、PDF データからは汚れも臭いも発生しないので、本を読む分には全く問題ではなくなる。「ヘンな臭いのする中古書籍を PDF 化してもらったら、その PDF を読む際に PC の画面からヘンな臭いが発せられる」、ということはあり得ない (仮にデジタルにおける臭いの伝搬が可能になれば、そのほうがすごい。大革新である)。ただし、元の書籍のページの汚れがひどい場合や、前の所有者による書き込みが見られる場合は、それらもあわせてスキャンされてしまう。しかし Amazon の中古書籍販売ページでは、書き込みがある場合はたいていそのように記載されている。ページの汚れについては、軽い変色程度であれば PDF データを画像補正することで消去することができる。

Amazon で購入した中古書籍を書籍のスキャン代行業者にスキャンしてもらう場合の問題は、いったん自宅に Amazon の出品者から書籍が郵送されてきたものをスキャン代行業者に転送するのにかかる時間と送料である。送料は微々たる金額である一方で、そのような作業を行う「手間」が面倒であると感じられる場合が多い。

そこで、顧客の手間を軽減するため、いくつかのスキャン代行業者は、Amazon などのオンラインショップの書籍送付先をスキャン代行業者の住所に設定することを許容している。この場合、スキャン代行業者に会員登録をすると会員番号が発行されるようになっており、その会員番号を、スキャン代行業者の住所の末尾に付加して中古書籍を注文するという方法が可能である。スキャン代行業者の側では、Amazon や出品者から届いた書籍の宛先住所に記載されている会員番号をもとに顧客を識別し、スキャンした結果の PDF を顧客に納品する。

これは読者の立場から見て何を意味するのか。Amazon で書籍を購入しようとしたときに、まだその書籍の電子書籍版 (Kindle 版) が提供されていないような場合は、Amazon でその紙の書籍を注文し、配送先をスキャン代行業者の住所に設定して注文ボタンをクリックすれば、2、3 日後にスキャンした結果の PDF データが顧客に納品される、という体験を得ることができるのである。これは非常に斬新で快適な体験である。Amazon では紙の書籍しか販売されていなくても、PC の前でボタンをクリックするだけで、数日間のタイムラグはあるものの、しばらくすれば電子書籍版 (PDF データ) に変換されてダウンロード可能になるという訳である。この間に、読者は一度も物理的な紙の書籍に手を触れる必要がない。Amazon で中古書籍を購入する場合でも、前述のように中古書籍が汚れているのではないかとか、ヘンな臭いがするのではないかといった衛生状態について心配することなく、その中古書籍を自分の好きな端末で快適に読むことができるのである。

これまで、Amazon で販売されている中古書籍は、古本屋さんの店頭で現物確認をしてから購入する場合と比較して、購入前に汚れや衛生状態を確認することができないため、購入に抵抗感が生じるという問題があった。このような抵抗感により Amazon での中古書籍の購入を控えようとする人は多くいたのではないかと思う。これらの Amazon に出品されている中古書籍の大量の在庫が効率的に有効活用される道は、より多くの読者の間で、Amazon の中古書籍販売ページから直接スキャン代行業者に送付してスキャンを委託するという方法が普及することによって開かれる。

スキャン代行業者は多数の会社が乱立しているので、インターネット上で検索して好きな業者を見つけることができる。一例として、ブックスキャン http://www.bookscan.co.jp/ というサービスがある。このサービスは、http://www.bookscan.co.jp/company_history.php にあるようにかなり急速に成長しているベンチャー企業が提供するものであり、多数の工程をシステム化することで非常に効率的に業務を行っていることが特徴的である。この業者の場合、スキャンした後の物理的な本は再販せずに、完全溶解処分を行うことを Web サイト上で明記している。すなわち、1 部の中古書籍から生成可能なスキャン済み PDF は 1 部のみである。このように、スキャン済みの書籍を廃棄処分する旨を明示してスキャン代行事業を行うことは、著作権者の利益を害する恐れがなく、大変素晴らしい姿勢であると評価することができる。(ブックスキャンからお金をもらって宣伝している訳ではない)

このように、Amazon とスキャン代行業者を組み合わせて、自分専用の電子書籍データを作る方法は、健常者だけでなく、たとえば身体障がい者の方や寝たきりのお年寄りなどにとっても大変有効な方法である。これらの弱者の方々は、たくさんの本を読みたいけれども、書店へ行くことが難しい。Amazon の通販で購入しても、玄関まで本を受け取りに行かないといけない。玄関での受け取りは誰かにやってもらったとしても、本を読む際には自分の手でページをめくらなければならない。手が不自由なお年寄りは、自分の力で本を読むことが難しい場合がある。しかし、このような弱者の方々は、これからは Amazon で中古書籍を注文し、これをスキャン代行業者に送付して PDF で納品してもらうことで、自分のパソコンの大画面で本を読むことができるのである。読書中に本を手で保持したり、ページめくりをしたりする必要はない。マウスや、マウスに代わる身体障がい者向けの操作デバイスで、快適にページめくりをし、大きな文字サイズで画面に表示して快適に読むことができる。身体障がい者や寝たきりのお年寄りなどで読書が好きな方々が、Amazon とスキャン代行業者との組み合わせの便利さを知れば、涙を流して喜ぶに違いない。

また、日本国外に長期出張している日本人が和書を読むのにも便利である。日本の Amazon から海外発送すると時間やお金がかかる。また、中古書籍について多くの出品者は海外発送してくれない。さらに、言論の規制が厳しい国に居住している場合、日本から紙媒体の書籍を国際郵便で郵送して持ち込もうとすると、税関検査で没収されてしまう可能性がある。これらのことは、すべて、Amazon とスキャン代行業者を組み合わせて海外にいながら日本の書籍を電子データで読めば、解決することができる。

スキャンされた結果の PDF ファイルは、そのまま PC の画面で読む分には問題ないが、これを KindleiPadAndroid タブレットなどに転送して読む場合は、PDF を最適化してサイズを縮小し、また、コントラスト調整などを行って文字を読みやすいように微調整したほうが良い。そのためのソフトウェアとして、ChainLP という素晴らしいフリーウェアがある。ChainLP は、http://iphone.f-tools.net/E-book-Jisui/Kobo-ChainLP-Kirei.htmlhttp://www.assioma.jp/?p=3623http://ringonoki.net/tool/utility-s/chainlp.php で紹介されている。ChainLP を使用すれば、大量の PDF があるときにこれを一括で iPadKindle に最適化した PDF に変換することができる。

スキャン・調整結果として生成された PDF ファイルを Kindle Paperwhite で読むには、Kindle Paperwhite に転送しなければならない。このとき、PDF ファイルを ChainLP を用いて Mobi ファイルに変換してから Kindle に転送したほうが良い。Mobi ファイルに返信された自前の電子書籍は、Kindle 上の公式の有料電子書籍コンテンツと同様に、Amazon Kindle の中央サーバーによって「どのページまで読んだか」が管理される。複数の Kindle 端末を持つユーザーが、ある 1 冊の書籍の Mobi ファイルを各 Kindle に転送しておけば、そのユーザーは複数の Kindle で「最後に読んだページ」情報を同期することができる。これは極めて便利である。

スキャンを度々行うようになれば、Kindle へのデータ転送が面倒であるように思えてくることがある。特に複数台の Kindle を使用している場合はすべての Kindle にデータ転送を行う必要がある。そのような場合は、「Amazon send to kindlehttp://www.amazon.com/gp/sendtokindle/pc という Amazon 公式のフリーウェアを使用すると便利である。このソフトウェアを使用すると、すべての Kindle に Mobi ファイルをプッシュ配信することができる。KindleWi-Fi の圏内にある場合は、数分後に自動ダウンロードが開始される。Wi-Fi の圏外にある場合は、次回圏内になったときに自動的にダウンロードが開始される。

最後に、省エネルギーに関する考察をする。Amazon で中古書籍を購入し、それをスキャン代行業者にスキャンしてもらい Kindle で読むというのは、とても快適であるが、よく考えると無駄なエネルギーの消費が色々な場所で発生している。まず、中古書籍といっても、元々はどこかの印刷会社で製本されたものであるので、製紙、印刷、製本などにかかるエネルギーがある。次に、Amazon に出品している中古屋さんの倉庫で中古書籍が保管されていた訳なので、それに係る人件費や光熱水費などのエネルギーがある。そして、中古屋さんからスキャン代行業者までの配送に係るエネルギーがある。最後に、スキャン代行業者でスキャナを運用するための人件費やスキャナの損料、光熱水費などのエネルギーがある。そしてスキャンされた結果の PDF データは画像データであり、文字データではないので、ファイルサイズが大きくなり、余計なディスクスペースを占有することになってしまう。これらの工程それぞれで消費されるエネルギーは、本来、書籍のテキストデータが電子書籍として提供され販売されていれば、一切浪費する必要のないものである。米国では、大部分の洋書が、紙の書籍と同時に電子書籍で販売されている。しかし日本の和書はまだまだ一部分の書籍しか電子書籍化されていない。電子版が存在しない書籍を電子端末で読みたい場合は、前記のような本来不要なエネルギーを消費して電子化する必要がある。出版社が紙の書籍のみを販売し、電子書籍を販売しないことは、省エネルギー化が叫ばれている現代社会において、その時代の流れに逆行することである。あえて電子書籍を販売しようとしない出版社は、エネルギーの無駄な消費が発生することを善であると主張しているようなものである。今後、より多くの出版社で省エネルギー指向が生じ、少なくとも新たに出版されるすべての書籍について、紙の書籍のほか、電子書籍も提供されるようになれば、とても良い社会になるはずである。

VPN Gate サービスの提供は検閲用ファイアウォール設置国の主権の侵害であるか

VPN Gate サービス http://www.vpngate.net/ は、検閲用ファイアウォールの国内の利用者が、本来閲覧することができない Web サイト (TwitterYouTubeFacebook など) を閲覧するために使用することができるサービスである。そのため、「VPN Gate サービスを提供する行為は、検閲用ファイアウォールが設置されている国に対する主権の侵害である」という意見が寄せられることがある。この意見は一見するとなんとなく正しいように聞こえるかも知れない。そこで、今回は「VPN Gate サービスの提供行為は、検閲国の主権の侵害であるか ?」という疑問について考えてみる。なお、私は技術者であり、非技術的な事項に関しては不勉強であるので、以下で使用する用語や事実関係について間違いがあるかも知れない。より正確な知識を得たい方は、インターネットで検索するか、専門書などをお読みになることをお願いしたい。

まず、「主権」とは何であるか考える。「主権」の概念が最初に登場したのは 1648 年に成立した「ウェストファリア条約」であるらしい。その当時はヨーロッパの多くの国は絶対王政であり、王が管轄領域においての物と人との支配権を持っていた。その支配権を一般化して「主権」と呼んだ。絶対王政以外の統治形態が普及した現在においても、「主権」とは、その国家が「領域」内のすべての物と人とを支配する権力であることに変わりはない。ここで「領域」とは、ある国家に属する、領土、領海、領空、およびその国に登録されている航空機の機内などの物理的スペースのことである。「物を支配する権力」とは、その領域内にある物体について押収したり、留置したり、破壊したりすることができる物理的な強制力を行使しようとすれば行使できる力を意味する。これには、領域に外から物が入ってきたり、外に物が出て行ったりする際にそれを禁止したり、物を押収して処分したりする力も含まれる。「人を支配する権力」とは、その領域内にいる人に対して何かを禁止したり、何かを命じたりして、それらの禁止や命令に従わない人には物理的な強制力をもって従わせ、それでも従わない人には刑罰を課すことを予告することにより無理やり従わせることができる力を意味する。また、領域に外から人が進入しようとしたり、領域の外に人が退出しようとしたりする際に、それを禁止したりする力も含まれる。「主権」の行使においては、物理的な強制力を直接行使する場合と、従わなければ物理的な強制力を行使すると予告した上で人を従わせる場合とがある。いずれも物理的強制力が関係する。物理的強制力が一切関係しない「主権」の行使というのはあり得ない。

次に、「主権の侵害」とは何であるか考える。侵害がない通常の状態では、主権はある国の主権者によってコントロールされている。たとえば日本の場合は市民が主権者であり、市民が投票して選出した議員が法律を作成し、行政を組織する。行政機関は法律で許される範囲でのみ、物理的強制力を行使できることになっている。「主権の侵害」とは、ある国の主権者以外の者が、当該国に対して物理的強制力を行使することである。または、物理的強制力を用いて、当該国が本来行使できるはずの主権を行使できないように妨害することである。分かりやすい例として、ある国の領域内に落ちるようにして別の国がミサイルを発射してくる行為がある。ミサイルは、落下地点の人や物を支配 (この場合は、破壊) することができる物理的強制力の 1 つであるので、ある国の領域内にミサイルを落とす行為は、当該国の主権者が自らそれを行う場合、または主権者が予め同意している場合にのみ許される。それらに該当しない外国からのミサイル発射行為は、着弾先の国の主権を外国が侵害しているということになる。ミサイルが仮に領域内に落下しない場合であっても、ひんぱんにミサイルを発射することで、相手国の主権者に対してその意志に反した行動を行うよう要求することは、同様に主権の侵害である。主権者に対して、主権者自身が望まない主権の行使をさせること、主権の行使の妨害を行うこと、主権者自身が望んでいないルール (法律) を主権者が制定するよう押し付けること、などが主権の侵害である。これらのことを主権者以外の者が行うよう外部から物理的強制力により要求してきたら、それはいわゆる「内政干渉」と呼ばれる。たとえば、貴国である法律を制定しなければ軍隊で攻め込むと脅せば、それは主権の侵害であり、内政干渉である。物理的強制力の行使を告知しているためである。一方、貴国である法律を制定しなければ貴国に対する我が国からの石油の輸出を停止すると告知しても、それは主権の侵害でもないし、内政干渉でもない。物理的強制力を行使していないためである。

つまり、「主権の侵害」を一言で説明すると、ある国の主権者以外の者が、物理的強制力を行使するか、行使すると脅すことにより、当該国の人や物を実際に、または実質的に支配している状態である。これに該当する行為は主権の侵害であり、それ以外の行為は主権の侵害ではない。

したがって、「検閲用ファイアウォールの設置されている国のユーザー向けの VPN Gate サービスの提供」が、対象国の主権を侵害するかどうかを分析するために鍵となる問題は、「VPN Gate サービスの提供は、物理的強制力の行使であるか」の 1 点だけである。仮に VPN Gate サービスの提供が検閲国に対する物理的強制力の行使でなければ、VPN Gate サービスの提供は主権の侵害行為ではない。

VPN Gate サービスの提供」は、検閲国に対する物理的強制力の行使であるか。たとえば、ある検閲国において主権者が「我が国において VPN Gate サービスの提供行為を禁止する」という法律を制定しており、違反しているサービス提供サーバーは押収して破壊することができるとする。この場合、当該検閲国にサービス提供サーバーを設置し、かつ、そのサーバー装置を、主権者 (警察など) がやってきて押収して破壊しようとしたときにこれを物理的強制力によって妨害すれば、それらの一連の行為は、主権の侵害となる。たとえばある検閲国の領域内の土地にデータセンタを建設し、主権者の同意なしに勝手に軍隊を進駐させデータセンタの周囲を防衛し、そのスペースにサーバー装置を設置して、そのサーバー装置をその検閲国の国内のインターネットに強制的に接続し、それらの行為を止めさせるために当該検閲国の警察官が現場に駆け付けたときに軍隊によって抵抗すれば、それらの一連の行為は「主権の侵害」である。

しかし、VPN Gate サービスのサーバーは、検閲国の国外で稼働しており、インターネットを通じて、検閲国の内部のユーザーが国外にある VPN Gate サービスのサーバーに接続することができるようになっている。この場合は、VPN Gate サービス提供者は検閲国に対して何らかの物理的強制力を行使していない。仮に VPN Gate のクライアントプログラムがワームになっており、検閲国の国内に勝手に入り込んで、VPN Gate を利用したいと考えているユーザーだけではなく、任意のユーザーのコンピュータに感染活動を行うようになっていたとしたら、これは検閲国の国内にある物を勝手に支配することができる力を VPN Gate サービス提供者が行使していることになり、主権の侵害であるという主張が通るかも知れない。近年、標的型ウイルス等を用いたサイバーテロ行為は物理的強制力の行使であるという考え方が認められつつあることから、プログラムの送付や不正データの送信などであっても、間接的に送付先のコンピュータをソフトウェア的に乗っ取り誤作動させることになれば物理的強制力の行使であるという論がある。だが、現在の VPN Gate のクライアントプログラムはワームのように勝手に感染して興味のない人のコンピュータに増殖する訳ではない。送付先のコンピュータをソフトウェア的に乗っ取り誤作動させることもない。VPN Gate のクライアントプログラムは、VPN Gate を自主的に使用したいと欲する人だけがダウンロードしてインストールするものである。そのため、VPN Gate は検閲国の国内に対していかなる物理的強制力も有していないし、行使もしていない。

なお、そもそも VPN Gate サービスにおいては、ユーザーは VPN Gate のクライアントプログラムをダウンロードせずに、OS に標準付属の VPN クライアントを使用して、VPN Gate の中継サーバーに VPN 接続することもできる。(http://www.vpngate.net/ja/howto.aspx を参照。) この場合に使用されるのは OS 内部に最初から入っている VPN クライアントである。ユーザーは VPN Gate の Web サイトから稼働中の VPN サーバーの IP アドレスをどれか 1 つ取得して、それをコピー & ペーストすれば、VPN 接続が可能である。この場合はそもそも検閲国内に向けた VPN Gate Client のプログラムの配布行為は行っておらず、WindowsiPhoneAndroid に付属の VPN クライアント機能が使用されているに過ぎない。このような利用形態の VPN Gate ユーザーが検閲国内におり、そのユーザーが VPN Gate サービスを利用できていることについて、VPN Gate サービスが当該国に対して主権侵害をしているという主張は明らかにおかしい。その主張が仮に正しいとすれば、WindowsiPhoneAndroid に最初から付属している VPN クライアントがその検閲国の国内に輸入された時点で、それらの OS の開発者が検閲国の主権を侵害していることになってしまう。

検閲国内に、たとえば「何人も、検閲用ファイアウォールを回避する一切の行為を禁止する。これに違反する行為は警察により停止させられる。また従わない者には罰則を科す。」という法律があるとする。この場合に、その国の市民に対して、VPN クライアントソフトウェアを提供したり、OS 付属の VPN クライアント機能を使用するための国外にある VPN 中継サーバーの IP アドレスを教えたりする行為は、その検閲国の主権を侵害することになるだろうか。仮にその国の市民が教えられた通りに VPN クライアントソフトウェアを使用したり、OS の標準機能を使用して国外に VPN 接続したりしたとき、当該国の主権者は権力を行使し、捜査を行うことができる。そして、各ユーザーの自宅をそれぞれ家宅捜索し、VPN 通信を行っているコンピュータを特定して、それを 1 台ずつ破壊したり押収したりすることができる。また、VPN 通信を行っていたものを逮捕することができる。VPN クライアントソフトウェアや、OS 付属の VPN 機能などには、上記のような主権者の権力 (= 物理的強制力) の行使に対抗することができる物理的強制力は備わっていない。VPN の利用が禁止されている検閲国において、主権者の持つ物理的強制力に対抗することができない各市民の立場は、どのように VPN ソフトウェアを使用したとしても、それを違法として捜査し押収することができる主権者に対抗することはできない。検閲国の市民が VPN を使用する方法を国外の人が教えたり、VPN ソフトウェアを提供したりする行為には、検閲国の主権を侵害する物理的強制力の行使の行為を伴わないため、主権の侵害にはならない。

ここまで VPN Gate について述べたが、そもそも、仮に VPN Gate のような「海外に中継サーバーを設置することにより、検閲用ファイアウォールを回避するためのサービス」の提供が検閲国の主権侵害であるという主張が万一にでも正しいとなれば、大変なことになる。世界中にある多くのインターネットサービスプロバイダ (ISP) は、検閲国の主権を侵害していることになってしまう。

世界中にある多くの ISP は、オンラインサインアップ (クレジットカード番号を入力すれば、その場で PPP 接続するための ID とパスワードが発行される) 機能がある。検閲国内の市民でクレジットカードを持っている人や、VISA デビット番号発行サービスを利用できる人は、外国の ISP のアカウントを取得することができる。PPP のアカウントを取得した人は、検閲国内から国際電話をかけ、外国の ISP のダイヤルアップ・アクセスポイントに IP 接続することができる。IP 接続が完了すれば、当該 ISP のある国の IP アドレスを用いてインターネットに自由にアクセスできる。この際、検閲国内にある検閲用ファイアウォールは通過しないため、普段見ることができない Web サイトを自由に閲覧できる。これは今に始まったことではなく、15 年前からずっと可能であったことである。このように、検閲国の市民に対して、検閲用ファイアウォールを回避することができる中継点を国外に設置することを、その検閲国に対する主権の侵害であるというのであれば、検閲国から国際電話をかけることができる世界中のすべての国の、クレジットカードで PPP 接続 ID とパスワードを発行しているすべての ISP は、検閲国の主権を侵害しているということになる。それは明らかにおかしい。そして、VPN Gate のような VPN サービスにおける海外に設置された VPN 中継サーバーと、検閲国内からダイヤルアップ接続可能な PPP サーバーとの間に違いはない。このように考えれば、VPN Gate のような VPN サービスが検閲国の主権を侵害しているという論はかなり無理があることが容易に想像できる。

国際ダイヤルアップ接続可能な海外 ISP に対して、検閲国が現状検閲を行うことができないとしたら、それは国際ダイヤルアップ接続可能な海外 ISP の責任ではなく、検閲国の努力不足にある。検閲国は、現行の技術があれば、すべての国際電話回線をきちんと盗聴して、ダイヤルアップのモデム音からデジタル信号を取り出し、それが TwitterFacebookYouTube を通信先とする HTTP 通信であれば国際電話を切断する、という装置を、すべての国際電話回線に取り付けることができる。そうすれば、検閲国の現状の検閲用ファイアウォールと同等の規制を国際電話回線におけるダイヤルアップ接続に対して強制することができる。ただし、これには予算がかかる。検閲用ファイアウォール管理者が予算不足であり、すべての国際電話回線のダイヤルアップ信号を分析してファイアウォール規則を適用することができないのであれば、代わりに、すべての国際電話回線を廃止させ、国際電話回線の新たな敷設を禁止することも可能である。これらは主権者による正当な物理的強制力の行使である。すべてその国の主権者の意向によって自由に行うことができる。一方、主権者がたとえば外国との国際電話回線をすべて撤去してしまった場合において、外国の企業や政府が、その国の市民に対して代わりの国際ダイヤルアップ接続を何としてでも提供しようと思う場合は、その検閲国に物理的強制力を持って強制的に国際電話回線を接続しに行く以外に方法がない。「主権の侵害」は、そのような物理的強制力の行使を行う際に初めて問題になるのである。

同様に、検閲用ファイアウォールが、VPN Gate のような海外のインターネット上にある中継点を経由して検閲国の市民が自由にインターネットを閲覧することを規制することがうまくできていない状況となっている責任は、VPN サービスの側にあるのではない。規制がうまくできていない責任は、検閲国の検閲用ファイアウォールの管理者にあるのである。管理者が検閲用ファイアウォールの能力不足を放置し、強化を怠っているから、海外にある VPN サーバーを経由した自国市民の通信を完全に遮断できていないのである。このような検閲用ファイアウォールの管理者に帰責する問題を、責任転嫁し、あたかも VPN サービスを提供する側が当該検閲国に対して主権を侵害しているのであるとする論は、間違いである。主権者は自己の費用負担により検閲用ファイアウォールを強化すれば良いし、もしそれができなければ、国内にあるすべての海外へのインターネット接続回線を、主権者の物理的強制力の行使によりすべて切断してしまえば良い。そうすれば、自国の市民がインターネットと VPN を経由して TwitterFacebookYouTube を通信先とする HTTP 通信を行うことを禁止することができる。これを妨げる技術的な原因は何一つない。VPN Gate のような VPN サービスは、主権者が望めばどのようにでも VPN 通信を遮断することができる状況にあり、VPN サービス提供者側は、何らかの物理的強制力を行使してそのような主権の行使を妨害していない。したがって、「主権の侵害」であるとするために必要な「物理的強制力の行使」という条件を満たしていないので、VPN Gate はいかなる検閲国の主権も侵害していない。

上記をまとめると、VPN Gate はいかなる検閲国に対しても物理的強制力を行使していないし、行使する旨を告知して当該国の主権の行使を妨げることもしていないから、いかなる検閲国の主権も侵害していないと言うことができる。

VPN Gate に対する外国からの妨害活動と対抗策としてのオープンソース化について

筑波大学での研究として VPN Gate プロジェクト http://www.vpngate.net/ を開始してから、間もなく半年になる。現在 VPN Gate は国ごとのユーザー数リアルタイムランキング http://www.vpngate.net/ja/region.aspx で公開されているように、全世界 198 カ国 (特別行政区等の地域を含む) から利用されており、これまでに 1,226 テラバイトのデータ転送があった。ユーザー登録は不要であるが、ユニークユーザー数をユニーク IP アドレス数から推測すると本日時点で 281 万 9,313 人となっており、世界で最も使用されている VPN 中継システムの 1 つとなりつつある。

VPN Gate プロジェクトは、「検閲用ファイアウォール」がある国からの利用が盛んである。検閲用ファイアウォールといえば、アジアのある国が有名であるが、他にも世界には検閲用ファイアウォールによって厳しい規制が行われている国が 11 カ国ある。これらの国では、政府が市民に対して例として TwitterFacebookYouTube などへのアクセスを禁止している。また、検閲用ファイアウォールが設置されていない国であっても、ISP においてすべての HTTP 通信履歴が記録されている国や、インターネットの利用について厳格な実名性が要求されている国がある。このような国では、人々はインターネット経由で特定の政治的な情報を積極的に発信することだけではなく、特定の政治的な情報について掲載されているサイトを閲覧するだけで、それが ISP のログに残り、その後公権力によって不当な尋問などの不利益な扱いを受けるリスクがある。VPN Gate はこのような海外の多数の国からの利用があり、これらの人々の知識の向上や政府からの人権侵害に対する保護に役に立っている。

しかし、VPN Gate に対する DoS 攻撃や脅迫文等の送付といった妨害も数多く行われている。そのうち多くは、検閲用ファイアウォールがある国の検閲当局によって間接的に指揮され実施されていると思われる。そこで今回は、VPN Gate に対する妨害手法を紹介し、VPN Gate としてこれらの妨害者による妨害が万一成功した場合に備えて用意している対抗策を述べる。

DoS 攻撃による VPN Gate の動作の妨害

VPN Gate を開始してから半年で、VPN Gate の存在に反対し、VPN Gate を停止させようと色々な妨害的な活動を実施してくる攻撃者がひんぱんに出現した。これらの攻撃者から、VPN Gate の各 VPN サーバーや Web サーバーに対して DoS 攻撃の通信が来ることが多くある。これらの DoS 攻撃の発信元 IP アドレスは偽装されており、大量のパケットを送り付け、回線帯域を消費させることを試みるものが多い。発信元 IP アドレスが乱数のようになっている大量の UDP パケットが届く場合、これは IP 偽装が容易に可能な海外の ISP が発信元であると思われる。また、発信元 IP アドレスが偽装されていない、正当な TCP/IP パケットが大量に届くことがある。例えば、オランダの大学の固定 Linux サーバーの IP アドレスなどが発信元となっている。ただしこのオランダの大学の回線はかなり太く、日本までかなりの帯域幅でデータが届くので、日本側の回線を消費してしまう。当該オランダの IP アドレスからの通信を調べてみると、他にもいくつかの大規模な Web サイトを DoS 攻撃するために使用される通信として報告されているものと全く同一の特徴を有していた。恐らく、誰かに侵入されて不正に利用されているホストであると思われる。

VPN Gate に反対していると思われる人々のうち一部は、前記のように、DoS 攻撃などを行い VPN Gate の動作を妨害しようとする。あるときには、回線帯域を 100% 近く埋め尽くす一方的なトラフィックが海外から投げつけられ、正常な通信ができなくなったことがある。VPN Gate プロジェクト側では、DoS 攻撃のパケットと思われる通信をできるだけ遮断するようなファイアウォールをサーバーの手前に設置して対抗しているが、上流回線から流入しているパケットが上流回線を逼迫してしまっている場合は、いくら VPN Gate のサーバーの手前のファイアウォールDoS パケットを検出する工夫をしたとしても、通信断が発生することを防ぐことはできない。ただし、このような異常なスループットトラフィックは数分後にはたいてい放っておけば絞られる。海外の ISP のどこかで、異常な量のデータが流れてくる方向の帯域を自動的に絞る仕組みがあるのかも知れない。これらの大量のパケットが投げつけられる DoS 攻撃は、DNS アンプ攻撃のような安価なものではなく、本当に大量の独自に生成された、無意味な帯域消費を目的とするだけのパケットが届くものであり、攻撃側はかなり太い回線を持っているか、または、攻撃用のボットネットを持っていると思われる。このようなコストがかかる攻撃を行ってくる者 (恐らく海外の十分な予算がある攻撃者) が VPN Gate を攻撃する意図として一番可能性が高いものは、海外の一部の国の検閲用ファイアウォールの運営当局が VPN Gate が当該国のユーザーに普及し始めていることを阻止したいというものであると思われる。

脅迫的なメール等による VPN Gate の停止の要求

VPN Gate を停止させようとする攻撃は、技術的な攻撃だけに留まらない。VPN Gate に反対していると思われる人々の中には、メール、手紙、電話、フォーラムへの書き込みなどで脅迫的なことを述べ、VPN Gate の運用を止めるよう迫ってくる者も多数いる。そのような書き込みや電話をしてくる人たちの多くは、日本語の文章や言葉で連絡をしてくるので、一見すると日本人のように思える。しかし、文章や言葉をつぶさに観察すると、少し違和感がある場合が多い。また、頑張って日本語を書いたのだろうが、残念ながら全体として論理が破綻している場合も多い。日本人の書く文章や話す言葉ではありえないような論理の飛躍や、おかしな表現もある。また、日本で使われていない漢字 (JIS にない) が含まれていることもある。これらの日本語の文章や電話は、海外の一部の国の検閲用ファイアウォールの運営当局の関係者か、関係者によって委嘱された、日本語がある程度上手な人によって書かれたり実施されたりしていると思われる。中には、機械翻訳による日本語のものもあって面白い。たいていの内容は単なる脅迫的な稚拙な文章であるが、中には、VPN Gate があるアジアの国の検閲用ファイアウォールを通過できる機能を具備することが、当該アジアの国の主権を侵害することになり、国際問題となることを心配している、といった具合の、ある程度よく考えられた理屈が書かれている。しかしこのような理屈が書いてあるメールも、やはりよく見ると日本語がおかしかったり、論理の飛躍があったりする。検閲用ファイアウォールがある国の検閲当局が、DoS 攻撃による VPN Gate の停止がうまくいかなかったので、別の手段として、コミュニケーションによって脅すことで VPN Gate を停止させようとしてきているのではないかと考えられる。

VPN Gate 反対派に対する対抗措置

上記のような VPN Gate 反対派の DoS 攻撃や脅迫的なメール等は、VPN Gate を日常的に利用することで政府による検閲用ファイアウォールで遮断されない自由なインターネットへのアクセスをようやく手に入れた検閲国内のユーザーから、VPN Gate を取り上げて利用できなくしてしまうことを目的している。しかし、我々はいったん VPN Gate プロジェクトを開始した以上は、こういった DoS 攻撃や脅迫的なメール等の送付が多数実施された場合でも、それにひるむことなく、継続して VPN Gate を提供し続けなければならないと考えている。仮に、検閲国の大学において、研究者が VPN Gate のように検閲用ファイアウォールを回避するためのシステムを作り始めたら、即刻、中止するよう政府から命じられることは明らかである。VPN Gate のような検閲用ファイアウォール回避システムを研究・開発し提供することは、インターネット利用上において政府による検閲や言論統制がない日本のような国でなければ行うことはできない。日本において VPN Gate の研究を継続し、検閲用ファイアウォールが設置されている国内の人々に利用してもらうことは、長期的には、日本のようにインターネット上での言論統制がない素晴らしい環境と同等のインターネット環境を世界中に広めることにつながる。VPN Gate をより長期間安定提供する試みは、長期的にみた世界の流れに沿う正しいことであるように思われる。

外国の検閲当局による妨害に対する対抗措置としてのオープンソース

今のところ、検閲用ファイアウォールがある国の検閲当局によって間接的に指揮され実施されていると思われる VPN Gate 反対派の手段は、DoS 攻撃や脅迫文等の送付といった初歩的なものに留まっている。しかし、これらの外国の検閲当局によって間接的に実施させる妨害策は今後さらに拡大する可能性がある。そこで、VPN Gate プロジェクトでは対抗策として、仮に何らかの理由で VPN Gate の運用を停止しなければならない自体となった場合は、速やかに全ソースコードオープンソース化して配布する旨http://www.vpngate.net/ja/about_faq.aspx で公開当初から宣言している。ソースコードには VPN Gate のボランティアサーバプログラムとクライアントプログラムだけではなく、VPN Gate の中央の VPN サーバーリストを公開し配布する Web サーバープログラムとデータベースプログラムのフルセットも含まれる。もし我々が直接運用する VPN Gate サービスが長期間または恒久的に停止することとなった場合は、サーバー運用の知識がある方であれば、誰でも VPN Gate とそっくりそのままで独自のサービス名やドメイン名を付けた新しい VPN Gate の派生サービスを公開できるようにする。

したがって、もし VPN Gate 反対派が VPN Gate を停止させようとする試みを一時的に成功させた場合も、VPN Gate の派生サービスを世界中誰でも立ち上げることができるようになり、その場合はすべての VPN Gate の派生サービスを停止させることはとても難しくなる。小さな規模の各派生サービスが大量に分散して出現すれば、すべてのサービスに対して攻撃や脅迫等の妨害を行うには、1 個の VPN Gate サービスを停止させるためのコストと比較して莫大なコストがかかる。そして、検閲国内のユーザーは、利用可能ないずれかの派生サービスを少なくとも 1 個でも見つければ、再度 VPN を経由してインターネットに出ることができるようになる。ソースコードが公開されていれば、VPN Gate の派生サービスに関する特定の技術的攻撃が行われた場合に、それに対する耐性を実装することも各自が自由に行うことができるようになる。

このように、VPN Gate の反対派が、現在 VPN Gate プロジェクトが筑波大学において運用している VPN Gate のサービスを停止させようと攻撃や妨害をすることは、仮にそれが成功しても、結果として、VPN Gate の派生サービスが多数発生することにつながり、VPN Gate の反対派の思い通りの結果にはならない。むしろ、VPN Gate の反対派である検閲国の検閲当局にとってより不利な結果となるに違いない。いかなる国のインターネット上の検閲行為も、長期的に考えると長続きはしない。国内の人が VPN Gate のような VPN を利用することについて、それを積極的に妨害しようとせずに、VPN を利用している人は利用させておき放っておくのが、検閲当局にとっては最も有利な手段のはずである。

VPN Gate をオープンソース化した場合に発生する悪用容易性よりもオープンソース化のほうが大切

VPN Gate は、現在、ごく一部の人がこれを悪用しておかしな書き込みを 2ch に行っているといった報告を受けている。しかし、VPN Gate を悪用して違法な書き込みを行うのは、書き込み元の身元を犯罪捜査から隠す目的には使えず、賢明な方法であるとは思えない。VPN Gate プロジェクトでは、不正利用防止の取組み http://www.vpngate.net/ja/about_abuse.aspx にあるように、各 VPN Gate ボランティアサーバーからの VPN ログは、VPN Gate の中央サーバーに集約されている。万一、VPN Gate 経由で違法行為が行われた場合、VPN ログを確認することで、違法行為を行った元の IP アドレスを判別することができる。さらに、各ボランティアサーバーにおいて保存される VPN パケットログは、ログを保存する機能を容易に無効にできないようにしている。これらのことにより VPN Gate を利用した悪用を行う者が増加することを防止しており、VPN Gate を用いた悪用件数は非常に少ない。これらのことがなぜ可能であるかというと、現在 VPN Gate のボランティアサーバーのプログラムと、VPN Gate の中央サーバーの Web サーバープログラムのソースコードは非公開であり、誰も VPN Gate の類似・派生サービスを立ち上げることができないためである。つまり、VPN Gate はソースコードを非公開の状態におくことで、たとえば VPN ログを全く保存しないボランティアサーバプログラムの出現を防止したり、VPN ログを集約して蓄積する機能がない犯罪利用の際の身元を確実に隠せる完全匿名サービスとしての VPN Gate 派生サービスの出現を防止したりしている。我々がこれらの対策を行う理由は、VPN Gate を犯罪利用の際の身元を確実に隠せる完全匿名サービスとしてではなく、ファイアウォール回避用サービスとして利用してもらいたいという理念に基づく。この理念は、我々が直接 VPN Gate のサービスを運用している場合に限り成立する。
ただし、前記のとおり、我々が実施している現状の VPN Gate のサービスに対する他国の検閲当局による妨害によりサービスを停止しなければならなくなった場合には、VPN Gate のソースコードの公開が最優先の実施事項となる。そして、ソースコードをダウンロードし、自分でそれをもとに VPN Gate サービスの派生サービスを構築する者が出現すれば、その新派生サービスが、現行の VPN Gate サービスが保証しているログ記録の強制およびログの集約をあくまでも保証し続けるかは、当該新派生サービスの運営責任者それぞれが任意のポリシーを制定し、これを決定することになる。その結果、我々の理念である、VPN ログを集約して蓄積する機能がない犯罪利用の際の身元を確実に隠せる完全匿名サービスとしての VPN Gate 派生サービスの出現の防止は、残念ながら不可能になる。このような場合に生じる責任は、各派生サービスの運用者に帰属するものであり、VPN Gate の元のソースコードを開発してオープンソース化した我々には責任はないと考える。(改造すれば悪用される可能性があるオープンソースのプログラムの最初のバージョンを公開した最初の開発者に、その後の他の者による改造に起因して生じる責任があるという考え方は、受入れられない。) これらのことから、将来 VPN Gate が妨害を受けないようにするためにやむを得ない場合においては、VPN Gate のソースコードオープンソース化して配布することを最優先とすることが、最も正しい選択であると信じる。


VPN Gate に対する DoS 攻撃や日本語での脅迫文等の送付といった妨害を盛んに行ってくる検閲国のファイアウォール管理当局においては、そのような妨害行為が望み通りの結果を招くことにはならないことを理解して頂きたい。

海外で紹介された VPN Gate のニュース記事等の一覧

VPN Gate は、これまで以下のように、多数の海外ニュースサイトで取り上げられ、多くの記事中において、検閲国政府の検閲ファイアウォール回避用のシステムとして評価されている。多くの記事では、日本国 (Japan) および筑波大学 (University of Tsukuba) の名前が掲載され、日本初のソフトウェアおよびサービスとして短期間で世界中に急速に広がった例の 1 つとなっている。

本当は怖い Windows パスワードハッシュ

「各社員の PC の Windows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows PC をインストール・初期設定する際に、すべての PC に同一の長い強力なパスワードを設定しているところが多いと考えられる。たとえ企業内のドメインActive Directory を使用している場合でも、Windows のローカルには通常 1 個以上の Administrators 権限を持つユーザーを最初に作成する。この共通の管理者ユーザーのパスワードが曲者である。16 文字のパスワードを設定していても無意味である。絶対にハッシュから復元できないような 100 文字の超難解な乱数パスワードを設定していても、完全に無駄である。複数の PC に同一のパスワードを設定していれば、1 台侵入されれば他のすべてが侵入される。

そもそも、「Windows のパスワードを長い文字列かつ推測困難にしていれば大丈夫である」という神話は、仮に攻撃者が NTLM ハッシュを盗むことに成功したとしても、元のパスワードを逆算することはできないという事実から生まれたものである。確かに Windows のアカウントのパスワードとして長い文字列を設定していれば、攻撃者にはパスワードの平文は分からない。たとえその Windows コンピュータの HDD から SAM データベースが抽出され、NTLM ハッシュ (MD4 ハッシュ) が取得されても、元のパスワードは逆算できない。元の平文パスワードが分からなければ、攻撃者は、たとえハッシュを手に入れても、対象となる PC にインタラクティブ・ログオンすることはできない。だから安全である。このように考えているシステム管理者は多い。しかし実際にはこれは大きな間違いである。前述のとおり、同一の管理者パスワードが設定されている複数の PC は、そのうち 1 台でも攻撃者の手に渡れば、すべての PC に攻撃者が侵入できるようになる。

なぜ攻撃者は 1 台の PC の管理者パスワードのハッシュを手に入れただけで、他の PC に侵入できるのか。Windows は、パスワード文字列を Unicode 文字としてエンコードしたバイト列を MD4 でハッシュしてできた 128 ビットのハッシュ値を NTLM ハッシュとしてレジストリ (SAM データベース) に保存する。複数の PC で同一のパスワードを設定している場合、MD4 ハッシュの値は同一となる。UNIX のパスワードデータベースでは同一のパスワードを設定しても毎回生成されるソルトの値が異なるのでハッシュの値は異なる。しかし Windows は NT 時代からずっとソルトを使用していない。これはよく誤解されているように、開発当時、Microsoft 社がソルトの使用を思い付かなかった訳ではない。Windows のパススルー認証を実現するために、恒久的に保存されるパスワードハッシュにソルトを使用することが原理的に不可能であることが原因である。

なぜ Windows のパスワードはソルトなしで MD4 ハッシュ化した値をそのまま保存するのか。その理由は、ある 1 台の PC でログインしているユーザーが、ネットワーク経由で別の PC の共有フォルダに同一ユーザー名・同一パスワードでパスワードの再入力なしで接続できるようにするためである。この機能の実現のため、接続元の PC (クライアント) は、接続先の PC (サーバー) から、何らかの方法で認証される必要がある。NTLM 認証 (現在標準として使用されている NTLMv2 認証) は、チェレンジ・レスポンス方式である。チェレンジ・レスポンスというと、PPP で使用されている CHAP が有名である。PPP の CHAP はパスワードの平文をサーバーとクライアントの両方が知らなければならない。Windows では SAM にはパスワードのハッシュしか保存されておらず、復元可能なパスワードはどこにも保存されていない。そのため NTLMv2 認証のチェレンジ・レスポンスの際には、サーバーとクライアントと両方で既知の共通鍵として、パスワードの平文を使用することは不可能である。代わりに、パスワードの MD4 ハッシュが使用される。

Windows が NTLMv2 認証のチェレンジ・レスポンスの際に、パスワードの MD4 ハッシュを使用していることは、一見安全なように思えるかも知れない。しかし、よく考えるとこれは単に「パスワードの MD4 ハッシュ」をクレデンシャル (平文パスワードの代わり) として使っているだけに過ぎない。確かにクレデンシャルが攻撃者に知られても、元の平文パスワードの逆算は不可能である (パスワードが十分複雑な場合)。しかし攻撃者はクレデンシャルを知っていれば、同一のクレデンシャルを持つ別の PC に NTLMv2 認証を要求することができる。前述のとおり NTLMv2 認証に必要な秘密情報は MD4 ハッシュだけであるので、認証は必ず成功する。

攻撃者が共通の管理者アカウントの MD4 パスワードハッシュを使用して、いったんリモート PC に対して NTLMv2 認証に成功すれば、その後はやりたい放題である。SMB (CIFS) プロトコルを用いてファイル転送や RPC 呼び出しが可能になるので、リモート PC 上ですべてのファイルやレジストリを読み書きしたり、任意のユーザーを新規作成したり、リモート PC 上の SAM パスワードデータベースから他のユーザーのパスワードの MD4 ハッシュを抜き出したりすることができる。リモート PC 上に特製のマルウェアrootkit をインストールし、キーログを取得したり画面を監視したりすることも可能である。

このように、複数の PC で共通の Windows 管理者パスワードが設定されている場合、攻撃者によって、いずれか 1 台から MD4 ハッシュが盗まれた時点でアウトである。攻撃者は MD4 ハッシュからパスワードを逆算する必要はないから、どれだけ長いパスワードをかけていても、全く意味がない。また、各 PC の管理者ユーザー名が異なっていても、パスワードが同じであれば MD4 ハッシュ値は同一になるからセキュリティ上の対策にはならない。複数の Windows PC を管理する企業のシステム管理者にとって、現実的に有効な対策は 1 つだけである。それは、すべての PC の管理者パスワードをそれぞれ異なるものに設定することである。

企業や官公庁のシステム管理の現状を考えてみる。大抵の企業や官公庁では、社員に支給する新しい PC を情報システム部門が初期設定する。Windows のイメージをコピーして sysprep することもあるし、Windows を 1 台ずつクリーンインストールすることもある。その際に、管理上の都合から、すべての PC に同一の管理者パスワードを設定することが常である。多くのシステム管理者は、パスワードとして複雑なものを設定しておけば、複数の PC で同一の管理者パスワードが設定されていても安心だと考えているためである。通常は、管理者パスワードの他に、その PC を主に使用する社員のアカウントを作成する。ドメインを利用している場合は、代わりにドメインへの参加の設定を行う。このようにして大量生産された各社員用の Windows PC は、すべて同一の管理者パスワードを持っている。そして企業内でファイル共有などを使用するため、あるいは管理上の都合から、Windows ファイアウォール上では SMB (CIFS) のポートは開放されている。PC を受け取った、ある好奇心旺盛な社員は、自分の席で夜にこっそりと自分用の PC の SAM データベースをダンプし、情報システム部門の共通の管理者アカウントの MD4 パスワードハッシュを取得する。すると、その社員は自分の PC だけでなく、社内のすべての PC で管理者権限を得る。本来、その社員がアクセスできない他の社員用の PC を完全にコントロールすることができる。それだけではなく、システム管理者が各 Windows PC に対して設定する管理者専用の Administrators 権限アカウントのパスワードと、業務用 Windows サーバーやドメインコントローラに設定する Administrators 権限アカウントのパスワードとは同一である可能性も高い。そうすれば、その好奇心旺盛な社員は、会社の業務用サーバーやドメインコントローラ上で Administrators 権限を得ることも容易く可能となる。

学校や大学におけるパソコン部屋もだいたい同等の現状である。50 台、100 台の PC が並んであり、ドメインに接続されている。各生徒はドメイン上の自分のアカウントでログインする。すると各 PC 上での一般ユーザーとしての権限が手に入る。好奇心旺盛な生徒は、一般ユーザーとしての権限では不満である。教師の目を盗んで放課後に 1 台の PC の HDD を、持ち込んだ自前のノート PC に USB-SATA アダプタを用いて接続し、SAM 上の管理者パスワードの MD4 ハッシュを抽出するに違いない。そして PC の HDD をバレないように元に戻しておく。その MD4 ハッシュを利用すれば、パソコン部屋にあるすべての PC (教師用の PC も含めて) に対して NTLMv2 認証を行うことで、管理者権限で RPC 接続することができる。その後は自分専用の隠し Administrators ユーザーを作成したり、rootkit をインストールしたり、他の生徒のログイン中またはログイン後に、移動プロファイルのローカルキャッシュを閲覧したりできる。

上記の例のように、企業や学校で導入されている多数の Windows PC は、その PC を手元で使用する好奇心旺盛な社員や生徒によって SAM データベースから MD4 パスワードが抽出される危険にさらされている。物理的な HDD は好奇心旺盛な社員や生徒の手の届く範囲にあるため、HDD を自前のノート PC に接続して MD4 パスワードを抜き出すことは、フリーウェアを使用すれば極めて簡単である。これを防ぐことは TPM 付きノート PC などで、BitLocker で C:\ ドライブをフル暗号化していない限りはほぼ困難である。例え BitLocker で C:\ ドライブを暗号化していても、PC が稼働中に Windows の SAM データベースから MD4 パスワードを抽出することは可能である。もしその PC で自分専用の Administrators 権限を持つユーザーアカウントを使用しているのであれば、普通に Windows のバックアップ機能を用いてシステムバックアップを作成すれば、起動中の Windows では本来アクセスが禁止されている SAM データベースをダンプすることが可能である。ただし、普段その PC を使用するとき、一般ユーザー権限しかない場合は、少し難しい。数ヶ月に 1 回程度、新たに発見される、Windows のローカル上で権限昇格が可能になるようなカーネル脆弱性の登場を待つ必要がある。そのような脆弱性が出れば、Windows Update を行う前に怪しいツールを使用して権限を昇格し、それからバックアップ機能を経由して SAM データベースをダンプできる。

まとめると、企業・官公庁・学校などで複数台の Windows PC を使用しており、各 PC の管理者パスワードが同一である場合は、その管理者パスワードを知らない一般社員が、自分の目の前にある PC の HDD から SAM データベースをダンプし、管理者パスワードの MD4 ハッシュを取得することができる。そしてその一般社員は、社内にある他の同一管理者パスワードが設定されている Windows PC に対して NTLMv2 認証を要求することができ、認証は必ず成功する。認証に成功した後はリモート経由でその PC に対していかなる操作も可能になる。

これを防ぐ方法は、すべての Windows PC の管理者パスワードを異なるものにすることである。原理的には 1 文字でもパスワードが異なっていれば、各パスワードの MD4 ハッシュは全く異なるものになり、他の PC への NTLMv2 認証に使用することはできなくなる。たとえば情報システム部門で共通のパスワード (これは長く複雑なものである必要がある) を決めておき、各 PC の管理者パスワードとしては、その共通のパスワードの末尾に PC の名前を付けたものを使用する、という程度でよい。この場合、MD4 ハッシュを 1 つ取得した攻撃者は、元のパスワードの平文を逆算することはできないから、すべての PC でたとえ 1 文字ずつしか違わないパスワードが使用されていても、セキュリティ上の問題は発生しない。

複数台の Windows PC を管理されている情報システム部門、学校のシステム管理者、顧客システムを保守するシステムインテグレータなどの方は、同一組織用のすべての PC に同一の管理者パスワードを設定しているというよくありがちな運用をしていないかどうか、改めて確認してみるべきである。レンタルサーバーやクラウド事業者は、複数の顧客に貸与している別々の Windowsインスタンスの管理者パスワードが同一である運用になっていないかどうか、よく確認してみるべきである。Windowsレンタルサーバーや VM サービスなどを契約すると、自分専用のアカウントのほか、クラウド事業者によるメンテナンス用として、既定で Administrators 権限のアカウントが登録されているものが見受けられる。たとえパスワードがとても長くても、これはとても危険なのでやめるべきである。異なる顧客間のインスタンス間がファイアウォールで区切られており、SMB ポートにアクセスできないから NTLMv2 認証がサーバー間でできない筈だと安心してはいけない。ファイアウォールの設定がおかしくなったときに、ある顧客が隣の顧客の VM に NTLMv2 認証をかけることができるようになってしまう。また NTLMv2 認証は SMB ポートが閉じられていれば使われないという訳ではない。IIS のユーザー認証機能には NTLMv2 認証があり、それを使う設定にすることは可能である。そこ経由で本来アクセスできない場所に他の顧客がアクセスできるようになってしまうかも知れない。



参考資料
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques (6/12/2013)
http://www.microsoft.com/en-us/download/details.aspx?id=36036



1 人でも好奇心旺盛な生徒がいれば、共通管理者パスワードの MD4 ハッシュをどれか 1 台の HDD から取得するだけで、パソコン教室の 50 台すべての Windows の管理者権限は簡単に取得できる。

Windows 7 のタスクマネージャのパケット数表示の「送信」/「受信」が常に逆に表示されるバグを発見

今日はネットワークのコードを書いて色々実験していたところ、突然、Windows 7 / Windows Server 2008 R2 の「タスク マネージャ」のネットワークタブには「送信ユニキャスト数」、「受信ユニキャスト数」、「送信非ユニキャスト数」、「受信非ユニキャスト数」のパケット数表示の「送信」/「受信」は常に逆に表示されるというバグがあるのではないかということに気付きました。
(送受信のユニキャスト数・非ユニキャスト数は、デフォルトでは表示されていません。カラムを追加すると表示されます。)


試しに手元のいくつかの環境で実験してみたところ、たくさんパケットを送信しても送信の側にはカウントされずに受信としてカウントされます。送受信の方向を逆にすると、結果も逆になります。LAN カードの種類に関係なく発生することから、タスクマネージャのバグなのではないかと思います。もし他の方の環境でも再現するということになれば、Windows Vista の頃から 6 年間も潜んでいたバグかも知れません。


一応 Microsoft にも送りましたが、直してもらえるのかな?