PR

CDNでもIPアドレスが変わる

 IPブロッキングには、CDNとの相性が悪いという問題もある(図5-3)。CDNは、動画配信などユーザーからのアクセスが集中しやすいWebサイトの負荷を分散するために広く使われているサービスだ。最近はセキュリティー対策のために導入するケースも増えている。DDoS攻撃の対象を複数の配信サーバーに分散できるためだ。

図5-3●CDNとの相性が悪い
図5-3●CDNとの相性が悪い
CDNは、アクセスしてきたユーザーから近い位置にある配信サーバーのIPアドレスを返す仕組みになっている。このため、Webサイトに対するIPアドレスが一意にならない可能性があり、IPブロッキングが難しい。
[画像のクリックで拡大表示]

 CDNでは、世界中に配信サーバーを配置し、それぞれが同じコンテンツを配信する。CDNを利用しているWebサイトにユーザーがアクセスするときには、DNSサーバーはそのユーザーと地理的に近い位置にある配信サーバーのIPアドレスを返す仕組みになっている。これにより、ユーザーは動画などを低遅延で視聴できる。

 つまり、CDNを利用したWebサイトでは、IPアドレスは一意にならないのが一般的だ。このため、IPブロッキングが難しい。

巻き込み事故の危険性

 IPブロッキングは、レンタルサーバーサービスなどで広く使われているバーチャルドメインとの相性も悪い。この技術では、1つのIPアドレスを複数のWebサイトで共有する。Webサイト側では、HTTPリクエストのHostヘッダーなどでユーザーがアクセスしたいWebサイトを判断し、アクセス先を振り分ける(図5-4)。

図5-4●バーチャルドメインでは関係ないサイトが巻き込まれる
図5-4●バーチャルドメインでは関係ないサイトが巻き込まれる
レンタルサーバーサービスなどで広く使われているバーチャルドメインという技術では、1つのIPアドレスを複数のWebサイトで共有し、ドメイン名でアクセス先を振り分ける。こうしたIPアドレスでブロックすると関係ないWebサイトが巻き込まれてしまう。
[画像のクリックで拡大表示]

 IPブロッキングの対象になったIPアドレスが複数のWebサイトで共有されている場合、ブロックを意図したWebサイトとは関係ないWebサイトも巻き込まれてアクセスできなくなってしまう。

 過去にはこうした巻き込み事故が実際に起こっている(図5-5)。

図5-5●実際に起こった巻き込み事故
図5-5●実際に起こった巻き込み事故
アルゼンチンでは2011年、グーグルのブログサービスであるBloggerが使っていたIPアドレスでブロックが実施され、100万個以上のブログが巻き込まれてアクセスできなくなった。ロシアでは2018年、政府がメッセージアプリのTelegramを遮断するため、AWS(Amazon Web Services)やGCP(Google Cloud Platform)が利用する1600万個以上のIPアドレスでブロックを実施し、AWSやGCPを使っているサービスに支障が出た。
[画像のクリックで拡大表示]

 アルゼンチンでは2011年、グーグルのブログサービスである「Blogger」が使っていたIPアドレスに対してISPがブロッキングを実施した。これにより100万個以上のブログが巻き込まれてアクセスできなくなったという。

 またロシアでは「Telegram」というメッセージアプリを巡って2018年に巻き込み事故が起こった。ロシアでは暗号化通信を行う通信ソフトを提供する事業者は、当局への登録と暗号鍵の提出を義務付けられている。Telegramはこれを拒否したためブロックの対象になった。

 Telegramはブロッキングを回避するためにAWSとGCPにシステムを移行した。そこで政府はTelegramを遮断するために、AWSやGCPが利用する1600万個以上のIPアドレスでブロッキングを実施した。これによりAWSやGCPにある他のサービスに不具合が発生する例があったという。

 こうした巻き込み事故の危険性があるため、政府が強大な権力を持つ国以外は、IPブロッキングを採用する例は少ない。