大量のトラフィックを交換する PacketiX.NET 実験サービス

PacketiX.NET セキュアインターネットサービス (英語版は こちら ) という学術実験サービスがある。学術実験このサービスは 2004 年 12 月にソフトイーサ株式会社が SoftEther VPN 2.0 のベータ版の配布を開始した際に同時に立ち上げられた。しかし、その起源は、2003 年 12 月に SoftEther 1.0 のベータ版の配布と同時に開始した「公開 VPN サーバー」に遡ることができる。
インターネット上に公開されている「公開 VPN サーバー」に VPN 接続すれば、その公開 VPN サーバーを経由して、そこを一種のプロキシサーバーとして経由し、インターネットに接続することができる。技術的には、同時に数千人が接続可能な巨大な VPN のイーサネットセグメント (仮想 HUB) が 1 個あり、そこに同時に数千台のコンピュータ (ユーザーが VPN クライアントをインストールして接続操作をした PC) がすべて接続されていることと同じである。イメージとしては、大きな部屋に数千個のポートが付いたスイッチング HUB があり、そこに数千台の PC が LAN ケーブルでスター状に接続している様子を想像すれば良い。しかし、公開 VPN サーバーに単に VPN 接続しても、それだけでは面白くない。そこで、公開 VPN サーバーでは、インターネットに抜ける NAT となるサーバー PC を 1 台用意した。「Public-NAT」という名称である。Public-NAT サーバーは、DHCP サーバー機能も兼ねており、この巨大な PUBLIC という名前の仮想 HUB に接続した VPN クライアントの OS の TCP/IP スタックに対して、プライベート IP アドレスを割り当て、また DHCP のオプション機能により、各クライアント PC が、Public-NAT (共有の NAT) をデフォルト・ゲートウェイおよび DNS サーバーとして利用するよう自動設定情報を配布している。これが PacketiX.NET セキュアインターネットサービス の概要である。
2004 年 12 月から公開した、SoftEther VPN 2.0 (現 PacketiX VPN) のクライアントソフトが接続可能な「public.softether.com」という VPN サーバーおよび「PUBLIC」という名称の仮想 HUB は、合計 16 台のサーバー PC (DELL PowerEdge) によって構成されている。下の写真はそれらのサーバーの写真である。


インストール中の様子


現在稼働中のサーバーの設置場所の様子

この公開 VPN サーバーは、2005 年 12 月から 2010 年 8 月までの統計によると、延べ 9,779,418 回 (977 万回) のユーザーからの VPN 接続を受け付けており、通信したデータ量は、なんと、2,176,177,046,821,858 bytes (2.1 ペタバイト) である。
これを含めた PacketiX.NET 実験サービス (ASP 型 VPN サービス という、ユーザーごとに個別に仮想 HUB を割り当てるサービスを含む) を構成する VPN クラスタ (クラスタリング機能は これ を使っている) は、現在、平均して 242.72 Mbps のトラフィックをインターネットとの間で交換している。これらのサーバーは筑波大学の実験室で SINET に接続されている。以下のグラフは、最近のトラフィックのグラフ (Cacti というシステムで描いてみた) である。


1 週間のトラフィック・グラフ

PacketiX.NET 実験サービスはいわば「仮想の ISP」のようなサービスである。インターネットをアクセス回線として使用して、オーバーレイ・ネットワークを構築し、その先に NAT や DHCP を設置して、そこ経由でインターネットに出れるようになっている。なぜこのようなサービスを無償で、大量のユーザーに対して公開するかというと、それは、VPN サーバーソフトウェアの安定性や性能を評価し、また、バグを発見するためには、できるだけ本物の負荷をたくさんかけたほうが良いからである。この実験サービスを 5 年間以上、常に稼働させていることにより、ほとんどの厄介なバグが発見され、駆除された。

VPN を経由した不正アクセスで逮捕されるような人の話

PacketiX.NET 実験サービスのうち PacketiX.NET セキュアインターネットサービス のほうは、そこに接続すると、ユーザーは、自分の IP アドレスを隠ぺいすることができる、いわゆるプロキシサーバーのような役割を果たすサービスである。自分の IP アドレスが、あたかも、public-nat.softether.com [219.117.219.210] になったかのようにして、インターネットにアクセスすることができる。つまり、このサービスに VPN 接続している間は、インターネット上のサーバーに対して通信をすると、あなたの IP アドレスは、普段使っている ISP の IP アドレスではなく、public-nat.softether.com として見えるのである。
これを一旦体験すれば、匿名化に使えるのではないかと思って悪用する人が時々出てくるようである。たとえば、掲示板を荒らしたり、悪口を書き込んだりする際に、この IP アドレスを使用する者がいるようである。PacketiX.NET 実験サービスでは、リアルタイムで通信内容を検閲している訳ではないので、悪い通信を自動的に止めることは不可能である。これは、普通の ISP もリアルタイムで悪い通信を止めることができないということと同等である。ある ISP のユーザーが悪い通信をしたとしても、ISP は原則として、その責任を問われない。もし責任を一々問われるのであれば、ISP を運営することはできなくなってしまう。電話で脅迫などをした電話の利用者がいても、その利用者が悪いのであって、NTT が悪いということにはならない。このことについて、日本では、いわゆる プロバイダ責任制限法 というのがあり、この法律は、ISP の利用者が悪用をしたとき、ISP は法的責任を問われないことを国家が保障するものである (ただし、その免責が適用されるためには、ISP は、この法律の規則に従う必要がある)。PacketiX.NET 実験サービスも、法律上は ISP の行うサービスと同様のサービスである (本サービスは、総務大臣に対して、電気通信事業として届出を行っており、適正に受理されている)。


さて、これまで PacketiX.NET 実験サービスを経由して悪さをした人が何人かいた。特に、不正アクセス禁止法に違反して悪いことをする人が、このサービスを、匿名化のために悪用するようである。しかし、Web サイトにも明記しているように、このサービスは、すべての通信のパケットログを完璧に VPN サーバーで保存しており (そのために大量のハードディスクを買っている。またログが消えてしまわないように、書き込みが可能だが削除することができない特殊なセキュリティ設定をした別のデータベースサーバーにリアルタイムで複製している) 、実は、一時的に IP アドレスを隠すことはできるものの、その IP アドレスと悪いことをした日時から、元の利用者のグローバル IP アドレスを特定することが簡単にできるようになっている。


不正アクセス等の犯罪を調べる警察の担当者は、本サービスを経由して不正アクセスをした者の IP アドレスが public-nat.softether.com (このサービスの公開 VPN サーバーの共有 NAT) である場合は、その管理者であるソフトイーサ社に対して連絡をしてくる仕組みになっている。その際に、不正アクセスのターゲットとなったサーバーのアドレスと日時を警察から教えてもらう。そうすると、悪いことをした人のグローバル IP アドレスを、パケットログに対してクエリーをかけるだけで、すぐに調べることができる。そして、そのパケットログを警察に提供する (このログの提供は、刑事訴訟法の規定に基づくもので、ISP が警察にそれらの情報を提供しても、通信の秘密を侵害したことにはならないというのが通説である)。そしてしばらく (何週間か) 経つと、警察から、例の犯人を逮捕しましたとか、送検しました、どうもありがとうございました、というような連絡が来る。ときどき、ログデータを印刷した紙のようなものを作成して、それに印鑑を押して文書で返送するというようなことを依頼されることもある。
これまで、public-nat.softether.com を経由して不正アクセスや名誉棄損などをした人は、だいたいこうやって摘発されている。具体的に、どの事件がということは公開していないが、よく、ニュースとか新聞とかで不正アクセスして捕まった人というのが出ているが、それのうち一部は、日本では、public-nat.softether.com を経由した、愚かな (考えの足らない) 人による事件である。なぜ、このサービスではパケットログが保存されていて、悪いことをすれば後で追跡されますと明記しているのに、それを気にせずに悪いひとをする人が出てくるのかは、理解に苦しむが、たぶん、不正にお金が欲しいという気分のときはそういうことを深く考えないのだろう (不正アクセスで逮捕されるのは、ほとんど、オンラインバンキングに他人の ID でログインして送金したとか、他人の ID でオンラインゲームに接続してアイテムを奪取してそれを転売したとか、また、不正アクセスではないが、他人のクレジットカード番号で詐欺をしたとかいう、不正なお金儲けのための行為があったときである)。

京都府警ハイテク犯罪対策室で聞いてきた話

日本のハイテク犯罪 (といっても本当にハイテクな犯罪は少なく、たいていは上記で書いたような、簡単な犯罪) の捜査のニュースで、よく、京都府警ハイテク犯罪対策室というのが出てきて、結構有名である。PacketiX VPN を使って不正アクセスのようなことをした人をここが捜査して、逮捕したことがある。そのつながりで、ここに遊びに行って、そこの担当の方にいろいろ様子を教えてもらった。
それで、この京都府警ハイテク犯罪対策室にいる現場の人は、警察の中では結構コンピュータについて詳しい部類に入るが、それでも、実はあまり詳しくなく、事件の都度、その事件に関する技術知識を急いで調べて勉強するというような感じであるということがわかった。外から見ていると、ハイテク犯罪事件で、誰かが被害を受けて告訴してから、何か月も放っておいてそれから逮捕するというようなことがよくあるように見えて、なぜそんなに長い時間放っておいてから逮捕するのかというのが疑問に思えていた訳だが、どうやら、それは放っているのではなく、その間に、関連する技術について、新たに一生懸命に勉強するので、必然的に時間がかかるようである。
また、ファイル交換関係のソフトウェア等について、よくこの京都府警ハイテク犯罪対策室が摘発するので、この捜査室は何か政治的な意図を持って行動しているのではないかというような批判がネット等で出てくることが多いと思うが、京都府警ハイテク犯罪対策室の中で、何かそういう政治的な意図でもって警察の力を濫用して特定の領域について極端に取り締まりをするというような話は無いというような印象を受けた。もっぱらここにいる担当の人たちは善良であって、単に告訴があれば順番に無差別に処理しているだけだという感じである。政治的な戦略判断をしているようには見えない。もしそういう戦略を決めているところがあるとしたら、より上位の機関であって、京都府警ではないと思われる。
(一応、日記にこういうことを書いて欲しいと頼まれた訳ではない。)