インターネットでウェブサイトを自由に閲覧できることは当たり前だと思いがちですが、インターネットユーザーの3分の2は政府による検閲を受けているとのデータが示すように、自由なインターネットを享受できる国は少数派であるのが事実。ソフトウェアエンジニアのKushagra Singh氏が、インドにおけるインターネット検閲の実態と手法について報告しています。

Identifying Airtel middleboxes that censor HTTPS traffic

http://iamkush.me/sni-airtel/

How India Censors The Web

http://iamkush.me/how-india-censors-the-web/

How India Censors the Web - 1912.08590.pdf

(PDFファイル)https://arxiv.org/pdf/1912.08590.pdf

インドでは中国の金盾のように政府が中央集権的に検閲システムを構築するのではなく、政府や裁判所が各プロバイダに特定のウェブサイトをブロックするよう命令することで検閲を行っているとのこと。この命令は法律で定められているため、各プロバイダは命令に従う必要があります。

インド国内においてプロバイダサービスのシェア98%を占める6社(ACT、Airtel、BSNL、Jio、MTNL、Vodafone)について、Singh氏が検閲の方法を調査した結果が以下。DNSによる検閲を行うプロバイダもあればHTTPヘッダを元に検閲を行うプロバイダもあり、各プロバイダで採用する検閲方法が異なることがわかります。



さらに、複数の検閲方法を採用するプロバイダでは、検閲方法ごとにブロックするウェブサイトが異なっていることも判明したとのこと。下の図は、それぞれの検閲方法によってブロックされているウェブサイト群を円で表示したものです。



ブロック対象のウェブサイトはプロバイダによっても異なります。2つのプロバイダにおいて「少なくともどちらか一方がブロック対象としているウェブサイト数」に対する「共通してブロック対象としているウェブサイト数」の割合を示したものが以下。プロバイダごとにブロック対象のウェブサイトが異なっているということは、「政府によるブロック命令をプロバイダが順守していない」か「プロバイダが政府からの命令以外のブロックを行っている」かのどちらかということになります。



また、Singh氏はプロバイダによる検閲の有無を調査した方法についても言及。特にServer Name Indication(SNI)による検閲はインドにおけるインターネット通信の4分の3をカバーする重要な検閲手法であるため、その詳細について説明が行われています。

1つのIPアドレスで複数のドメインを運用する名前ベースのバーチャルホストでは、HTTPヘッダ内のドメインをもとにアクセス先を決定しますが、HTTPSではヘッダが暗号化されているため、サーバーがアクセス先を決定することができません。この問題を解決するために開発されたのがSNIで、ドメイン名を平文でサーバーに通知することでHTTPSでも名前ベースのバーチャルホストを可能にした技術です。つまり、SNIで通知されるドメイン名はプロバイダからも確認できるため、それをもとに検閲を行えるというわけです。

例えば、インドではブロック対象のウェブサイト「fullhd720.com」へアクセスする際にSNIで「fullhd720.com」を通知した場合は通信がブロックされてしまいますが……



ブロック対象ではないドメイン「facebook.com」をSNIで通知すると、通信を行うことができるとのこと。これはSNIによる検閲が行われていることを意味します。



通常、パケットがルーターを経由できる回数(TTL)が宛先ホストまでのルーター数よりも少ない場合、パケットは宛先まで到達せずICMP Type 11が通知されますが、通信経路上でなんらかの検閲が行われていると、TTLが宛先ホストまでのルーター数より少ない場合でも、適切なTTLを設定した場合と同じ応答があるはず。Singh氏はこのアプローチをもとに各プロバイダの検閲手法を調査したとのこと。

Singh氏は政府とプロバイダの両方の観点から、インドにおけるインターネット検閲の統一性のなさを問題として取り上げ、検閲を監視するためのシステム開発が急務であると指摘。「インターネット検閲は、すべてのインド人に保障されている表現の自由の権利を制限するものだ」とSingh氏は語っています。