報告者：TJ

私TJの本業は香港・中国でのIT関連事業です。

今日はいつもと趣向を変えて本業関連で思うところを書いてみます。

ここ数ヶ月、常に頭を悩ませてくれたのは、中国におけるメール送受信の問題でした。

これは中国国内にいる人が日本、香港など中国国外にあるメールサーバを使用した場合、メールの送受信が出来なくなってしまうという問題です。

更にある時点からは、日本など中国国外から中国内に設置されたサーバーに対してもメールの送受信ができなくなりました。

中国内のインターネットインフラをコントロールしている中国電信などに問い合わせても全く要領を得ず、我々業者はもちろんのこと多くの日系企業も被害に遭われたと思います。

しかも状況を悪くしたのは、多くの日系企業（外国企業）は中国のローカルプロバイダーのメールサーバーの不安定さにほとほと嫌気が差していて、中国国外のメールサーバーを使っているケースが多いということなのです。つまり国内にメールサーバがあれば国内の送受信に関しては問題ないのですが、ブロードバンドを契約したときに無料で提供されるメールアカウントは「送ったのに届かない」とか「メールが１日後に届いた」などメールを頻繁に使う企業にとっては日常的に使えないレベルということで、日本本社のメールサーバを使ったり、有料でも香港のISP業者のメールサーバを使っている企業が結構あるんですね。蛇足ですが、我々もこの問題を解決するために広州のデータセンターにメールサーバーを構築し対策しました。

さて問題の発生状況などから、中国は新たなメールフィルタリングを目的としたファイアーウォールを構築しているのだろうと見当をつけていましたが、今日のCNETに決定的な記事が出ていますね。

中国の検閲用ファイアウォール、ケンブリッジ大研究グループが突破

要するに、中国では禁止されている「法輪功」（という宗教）キーワードがメール本文などにあると、中国政府が用意したファイアーウォールが、クライアント側とサーバー側の双方に接続を切るためのリセットパケット（偽のパケット）を送信するわけですね。（もちろんこれ以外にも天安門なども禁止文字になっているかもしれません）これを受け取ったメールサーバーは、これはクライアント側から来ていると判断し切断する。またクライアント側でも、サーバーから来ていると判断し切断する。ということでこういった禁止文字が含まれたメールやウェブの閲覧が排除できるということですね。

我々もこのおかしなパケット（リセットパケット）については以前から存在を確認していて、中国電信などに情報提供したのですが、「これはおかしいなぁ」という回答から前進したことはありませんでした。

さてケンブリッジ大のおかげで理由がはっきりしたわけですが、こういう事実を突きつけられると、中国リスクということを再認識させられますね。

たとえお金をかけてシステムを構築したとしても、体制の考え一つでそれがうまく動作しなくなる。従業員の労働争議、深刻な環境汚染、いつまでも改善されない電力不足、など中国には多くのリスクがありますが、そもそも国境や距離を無くし、情報の壁を取り払ってしまった憎きインターネットは中国政府の目の上のタンコブですね。いつ何時、遮断されるかもしれないというリスクを十分に覚悟する必要があるということです。

さて、今回の発表で原因ははっきりしたわけですが、有効な対策はとれないのが実情です。いや対策は比較的簡単にとれるのですが、対策をとることで正常な部分に悪影響を及ぼすために対策がとりにくいというのが現実です。

つまり、リセットパケットを無視するようにサーバーやクライアント側に設定をするというのが考えられる対策です。しかしこれを行うことで、本来の目的でサーバーがクライアント側に対してリセットパケットを送り切断を要求したときにもクライアントは無視してしまうという問題が考えられます。具体的には、ウェブサーバーが高負荷になりクライアントを切断したいときやメールサーバの負荷が上がったときなどです。つまり有効な対策はまだないということですね。

ということで、この問題は中国で仕事をする我々にとって非常に頭の痛い問題です。今後の動向が注目されますね。また何かあれば報告したいと思います。