報告者:TJ
私TJの本業は香港・中国でのIT関連事業です。
今日はいつもと趣向を変えて本業関連で思うところを書いてみます。
ここ数ヶ月、常に頭を悩ませてくれたのは、中国におけるメール送受信の問題でした。
これは中国国内にいる人が日本、香港など中国国外にあるメールサーバを使用した場合、メールの送受信が出来なくなってしまうという問題です。
更にある時点からは、日本など中国国外から中国内に設置されたサーバーに対してもメールの送受信ができなくなりました。
中国内のインターネットインフラをコントロールしている中国電信などに問い合わせても全く要領を得ず、我々業者はもちろんのこと多くの日系企業も被害に遭われたと思います。
しかも状況を悪くしたのは、多くの日系企業(外国企業)は中国のローカルプロバイダーのメールサーバーの不安定さにほとほと嫌気が差していて、中国国外のメールサーバーを使っているケースが多いということなのです。つまり国内にメールサーバがあれば国内の送受信に関しては問題ないのですが、ブロードバンドを契約したときに無料で提供されるメールアカウントは「送ったのに届かない」とか「メールが1日後に届いた」などメールを頻繁に使う企業にとっては日常的に使えないレベルということで、日本本社のメールサーバを使ったり、有料でも香港のISP業者のメールサーバを使っている企業が結構あるんですね。蛇足ですが、我々もこの問題を解決するために広州のデータセンターにメールサーバーを構築し対策しました。
さて問題の発生状況などから、中国は新たなメールフィルタリングを目的としたファイアーウォールを構築しているのだろうと見当をつけていましたが、今日のCNETに決定的な記事が出ていますね。
中国の検閲用ファイアウォール、ケンブリッジ大研究グループが突破
要するに、中国では禁止されている「法輪功」(という宗教)キーワードがメール本文などにあると、中国政府が用意したファイアーウォールが、クライアント側とサーバー側の双方に接続を切るためのリセットパケット(偽のパケット)を送信するわけですね。(もちろんこれ以外にも天安門なども禁止文字になっているかもしれません)これを受け取ったメールサーバーは、これはクライアント側から来ていると判断し切断する。またクライアント側でも、サーバーから来ていると判断し切断する。ということでこういった禁止文字が含まれたメールやウェブの閲覧が排除できるということですね。
我々もこのおかしなパケット(リセットパケット)については以前から存在を確認していて、中国電信などに情報提供したのですが、「これはおかしいなぁ」という回答から前進したことはありませんでした。
さてケンブリッジ大のおかげで理由がはっきりしたわけですが、こういう事実を突きつけられると、中国リスクということを再認識させられますね。
たとえお金をかけてシステムを構築したとしても、体制の考え一つでそれがうまく動作しなくなる。従業員の労働争議、深刻な環境汚染、いつまでも改善されない電力不足、など中国には多くのリスクがありますが、そもそも国境や距離を無くし、情報の壁を取り払ってしまった憎きインターネットは中国政府の目の上のタンコブですね。いつ何時、遮断されるかもしれないというリスクを十分に覚悟する必要があるということです。
さて、今回の発表で原因ははっきりしたわけですが、有効な対策はとれないのが実情です。いや対策は比較的簡単にとれるのですが、対策をとることで正常な部分に悪影響を及ぼすために対策がとりにくいというのが現実です。
つまり、リセットパケットを無視するようにサーバーやクライアント側に設定をするというのが考えられる対策です。しかしこれを行うことで、本来の目的でサーバーがクライアント側に対してリセットパケットを送り切断を要求したときにもクライアントは無視してしまうという問題が考えられます。具体的には、ウェブサーバーが高負荷になりクライアントを切断したいときやメールサーバの負荷が上がったときなどです。つまり有効な対策はまだないということですね。
ということで、この問題は中国で仕事をする我々にとって非常に頭の痛い問題です。今後の動向が注目されますね。また何かあれば報告したいと思います。
大陸で活動しているモバイル仲間から中国国外のサーバーのメールが読めないと聞き、出張中にメールが読めないと困るなぁと思ってましが、普段から使っている4smartphoneのPush Mailは送受信共に全く問題なく使えています。もう手放させません(なんか通販のコメントみたいになってしました(笑))
お久しぶりです。
確かにあの時は最悪でした。
仕事に支障が出た方たちが本当に大勢いました。
reveil様が使っている転送メールや、サーバー承認をSSLに切り替えたりとみんな色々対策したようです。
中には国際電話でダイアルアップなんて方もいらっしゃったみたいです。(懐かしいですね)
でも「バッサリ」遮断されたら、どうにもならなくなるんでしょうね。
Rさま
これも今はいいけれどそのうちダメになる可能性は十分にありますよ。4Smartphoneユーザーの誰かが禁止語句を使ったらそのサーバーにアカウントを持っている人皆が影響を受ける可能性があるわけですから。
うめさん
SSLやVPNでつなぐとその人自身のメール内容はフィルターから逃れることが出来ますが、例えば1本のブロードバンドをLAN経由で共有している事務所にいる、他の人が禁止語句を使用してしまった場合も事務所全体がサーバーから切断されることになります。これは結構見落としがちですね。全員がVPNなりSSLでアクセスする必要があります。
そういうことですね。気をつけねば・・・・。
と思う反面、一度禁止語句の入ったメールを送受信してみたいという衝動にかられるのは私だけでしょうか?(笑)
TB、ありがとうございます。あれだけの人口を抱え、これを「制御、統制」するためにインターネットという庶民の武器となりうるツールだからこそ、枷をはめたのでしょうが、なんだか、社会の実像を突きつけられた感じで、いい感情は持てませんね。
uramoty さま
「いい感情は持てない」まさにそうですよね。
でも我々そこに住み活動するものにとっては不満を抱きながらもなんともできないというもどかしい現実なんですよね。
ということでうまく回避できればいいのですが。
こんにちは
メールではないのですが、skypeのバージョンによって、“日本”という単語を含んだメッセージが中国側の相手に届かないことがありました。それでお互いとんちんかんなやり取りになってしまったことがあります。これはskypeのバグなのか、それとも・・・
うーん、それなら中国のインターネット接続は「中継地点へのトンネル用途」と割り切ってしまえばいいような。
たとえば、香港のデータセンター等にメールサーバーやProxyサーバーを設置して、大陸オフィスと香港の間にはIPSecでトンネルを作っておけば問題が回避できますよね?
香港人はすでにこんな感じのことを商売にしてるような。
satoxlerさま
非常に興味深い話ですね。
その時だけの話なのか、今もそうなのでしょうか?私は経験したことがないですね。
周囲にもSkypeユーザーはたくさんいますので聴いてみます。
情報ありがとうございます。
なり さま
その通りですね。IPSecで大陸オフィスto香港オフィスにトンネルを張ってしまえば問題はなくなりますね。この場合の懸念事項は、中国はVPN禁止という(政府がそういってるだけですが)ことでしょうか。
中国電信などプロバイダーから文句が来る可能性はありますね。
ホテルなどではVPN(PPTP)などでつながせてくれない(つながらない)ところもあります。つまり出張時にメールがとれない可能性があるということなのです。
TJさま
確か2~3週間くらい前の出来事でした。明日会社でログを見ればいつの出来事かはっきり分かります。今はバージョンをアップデートして問題ありません。
当時の状況ですが;
中国側では4台のPCにそれぞれskypeをインストールしてあり、それぞれ違うSkypeIDで使用していました。
3台は最新バージョン、通訳が使っている1台だけ、少しだけ古いバージョンでした。(確かバージョンは2。小数点以下が少し古いようでした)
通訳に生産スケジュールを確認するためにskypeでメッセージをやり取りしていたのですが、“日本”という単語がどうしても届きませんでした。はじめはそんなこと想像もつかなかったので、ふざけているのかと思いましたが、通訳のskypeログを送ってもらったら確かに“日本”という文字が含まれた私の発言がごそっと抜けていました。中国政府による規制かとも思いましたが、アップデートしたら直ったので、真相は分からずじまいでした。
satoxler さま
う~ん興味深い話ですね。
以前から中国政府はSkypeを禁止するという発表を何度かしていますから、かなり嫌っているとは思うのですが、実際にはずっと使えているのでどうしてかなぁと思っていたのですが。
もしこれが検閲の結果だとしたら・・・興味はつきませんね。