8月24日に開催された「知的財産権本部 インターネット上の海賊版対策に関する検討会議」(第5回) の議論に対してまとめられた以下の togetter

togetter.com

について、思うところをツイートをしたところ、

ドワンゴCTOの肩書で川上量生氏が政府会議に提出した資料がホントひどいんだけど、ドワンゴ内の良識あるエンジニア諸氏はこれを良しとするの? ドワンゴはインターネットを破壊して金盾を作る気? / “【速報： 角川の代表取締役、個人が…” https://t.co/sPD3BtT6aE

— KOYAMA Tetsuji (@koyhoge) 2018年8月30日

川上量生氏本人から詳細を明らかにせよとのリプライが来たので、自分の考える問題点をまとめます。

OP53B について

一様に OP53B を実施すると、組織内のキャッシュDNSサーバからも名前解決できないという本末転倒な話になってしまうので、すでに実施されている OP25B と同様にプロバイダから動的IPアドレスが割り当てられる環境のみを対象にすると想定します。多くの企業組織は固定 IP による接続なので対象にならない前提です。

ざっと考えられる問題点は以下になります。

• 接続環境のDNSが壊れている場合に回避手段がない
• DNS の不具合調査が著しく困難になる
• 組み込み IoT 機器への影響
• IP 電話への影響

接続環境のDNSが壊れている場合に回避手段がない

ホテルが提供しているネットワークや公衆 WiFi など、きちんとメンテナンスされていない環境は未だにちょくちょく見かけます。WiFi で接続できても、DHCP で IP アドレスが降ってこない、指定された DNS サーバが腐っていて外部のホスト名が全く引けないか不安定、などの経験をした方も大勢いることでしょう。

IP アドレスが取得できていて外部へのルーティングが可能という条件なら、たとえ提供されている DNS サーバが腐っていても Public DNS を自分で指定することで回避できます。私もこの方法で回避したことがこれまで何度もありますが、OP53B を実施されるとこれができなくなります。

DNS の不具合調査が著しく困難になる

上記のように接続しているネットワークに不具合がある場合、ツールを駆使して原因を探っていくのがエンジニアの本性なわけですが、OP53B が有効になっている環境では DNS に関する原因究明はほぼ不可能となるでしょう。原因が分からないことには、ネットワーク提供者に報告するにしても「なんか繋がらない」という曖昧な表現しかできません。

組み込み IoT 機器への影響

組み込み機器がインターネットに接続して情報をやり取りする例も増えてきました。いわゆる IoT というやつです。IoT 機器に使いやすい UI はついていない場合が多いので、参照 DNS サーバの情報は設置時に一度設定されてからずっとそのままだったり、場合によっては決め打ちで書き込まれているかもしれません。IoT 機器が繋がっているネットワークに急に OP53B を実施されると、参照 DNS が外部のものだった場合は当然処理が行えなくなります。

IP 電話への影響

DNS はホスト名と IP アドレスへの名前解決だけに使われているわけではありません。メールサーバはメール送信のために MX レコードを使いますし、IP 電話は SIP プロトコルを通して DNS を利用しています。

動的 IP アドレスレンジから SIP フォンを使っている例がどのくらいあるのかは分かりませんが、もしそうなっていた場合に不用意な OP53B がサービス停止を招く可能性は十分にあります。

Public DNS サーバについて

川上氏のドキュメントでは Public DNS についても言及されています。前述の Togetter まとめでは「Google Public DNS 8.8.8.8 や Cloudflare 1.1.1.1 には IP ブロッキングを実施せよ」と川上氏が主張していると解釈しているツイートがいくつも見られます。私もこれに引っ張られて多少過激な表現のツイートをしてしまいましたが、ドキュメントを熟考した結果これは解釈が間違っているのではないかという結論になりました。

少し長いですが該当部分を引用します。

企業または個人が自己の使用の目的のために設置している DNS サーバはやむを得ないとしても、一般の利用者の多い Public DNS サーバに対しては、ブロッキングの対象とすべきである。

これをおこなえば上記の立石氏の資料でも指摘されている②③④の 3 点の回避策についても、ほぼ、防ぐことが可能になる。

もちろん、すべての Public DNS サーバーに対してブロッキングを実施してもらうことは不可能である。ただし、現実的には主に利用されている Public DNS サーバの数は限られている。

具体的にはクラウドフレアの 1.1.1.1 とグーグルの 8.8.8.8 を対象とすべきである。＜中略＞

これらは海外の DNS サーバであり、日本の行政、または司法による命令に従わない可能性がある。だとしても、彼らが、日本ユーザーからのアクセスに対して日本の法制度に従うか、そうでないかの立場をはっきりとさせる踏み絵としても、国内の DNS サーバ同様にブロッキングをおこなうことを要請すべきであると考える。

文章をよく読めば、Public DNS サーバ自体を IP ブロッキングするのではなく、Public DNS サーバにも国内同様の DNS ブロッキングを要請していくという意味であると解釈するのが妥当です。

川上氏は、Public DNS への IP ブロッキングに関しては、少なくともこのドキュメント内では主張していないので、その点に関する過剰な反応は不適切ではないかと思います。

Public DNS の役割とは

Google が Public DNS をはじめたのは、ユーザ環境の参照 DNS サーバによる原因で快適なインターネット接続体験が阻害されていることが調査によって分かったからです。また DNS プロトコル「毒入れ」攻撃によるセキュリティ事件が発生したこともあって、それを回避する役割も担っています。

OP53B を実施することによって、動的 IP アドレスブロックからは通常の方法では Public DNS へのアクセスがほぼ不可能になります。このことは、先に上げたメリットをユーザから取り上げることを意味していて、違法コンテンツへのアクセス制限によるメリットに比べて「オーバーキル」であると私は考えます。