印刷範囲
全体プリント
本文プリント

中国グレート・ファイアウォール研究

投稿日:

変化し続ける中国

夏休み前(2019年7月)に上海周辺の製造業およびIT企業への視察に同行する機会を得ました。中国には何度も出張や旅行で行ったことがあったのですが、この数年は機会がなかったこともあり、参加してきました。

成長いちじるしい中国は、行くたびにその変化に驚かされます。初めて訪れたときは、自転車とバイクと自動車が無秩序に交差する道路、ゴミだらけの路地、扉のないトイレ、社会主義国なのに物乞い、という摩訶不思議な世界でした。しかし、それから20年、街は美しくなり、クラクションの音も消え、高層ビルが立ち並んでいました。

見学をさせていただいた会社も、IT企業の先進性は言うに及ばず、製造業ですら日本との有意な差はなくなっていました。社員の平均年齢の低さ(若さ)を考慮すれば勢いの点で日本企業が劣勢なのは明白でした。

グレート・ファイアウォール

ところで中国ではFacebookやTwitterを使うことができません。Wikipediaによると金盾、グレート・ファイアウォールと呼ばれる中国政府が運営するインターネット検閲システムがあり、それがFacebookやTwitterなどのサービスを遮断しているのだそうです。

Virtual Private Network(以下VPNなどの技術を使えばこれを回避できることも知られていますが、中国政府の技術向上なのか、あるいは、政治的な要請からなのか、少しずつそれらも使いづらくなっているとのことでした。

憲法で検閲の禁止がうたわれている日本との彼我(ひが)の差を感じますが、日本でも児童ポルノサイトや、漫画村といった著作権侵害サイトへの通信をブロッキングしています。通信の自由は重要ですが、他の権利(児童の人権や著作権)への侵害があれば一定の制限が生じるのはある程度はやむを得ないでしょう。中国でも、中国なりの理屈があるのだと考えるしかありません。とりあえず、この是非について、この記事で論じるつもりはありません。

ただ、当社のクライアントには中国向けのウェブサイトを運営しているお客さまもいらっしゃいます。何がどのようにブロックされているのかは正確に知る必要があります。中国国内でブロッキングされていることに気づかないと、ページのデザインが崩れたり、(サイト内検索のような)サイト機能の一部が動作しなかったりといった現象を引き起こしてしまうからです。そんなことになっては、せっかく中国向けのサイトを構築しても、中国国内の閲覧者にそっぽを向かれてしまいます。

というわけで、中国出張の機会をいかし、ブロッキングの実態を現地調査することにしてみました。

調査方法

調査と言っても何か特別なことをするのではなく、日本から持ち込んだWindows 10のパソコンを、宿泊したホテルのWi-Fiネットワークに接続し、いくつかのサイトを確認するだけです。

今回、上海で宿泊したホテルは、有名観光地である外灘にほどちかい、王宝和大酒店という4つ星ホテルでした。朝食会場で確認すると、自分たちのような外国人宿泊者もいる一方で、多くの中国人旅行者やビジネスマンも宿泊するホテルでした。日本で言えば謝恩会を開催するようなランクのホテルでしょうか?Wi-Fiサービスくらいはあるものの、海外客のために独自のVPNサービスなどを提供してくれるような特殊なホテルではありません。おそらくは中国国内の一般的なインターネット環境とそうは違わないでしょう。

ホテルの案内に従ってWi-Fiに接続すると日本のホテルのWi-Fi接続同様に10.10.5.37というプライベートIPが割り当てられます。グローバルIPが何か気になったので、IPアドレス確認ツール※1でチェックすると210.13.85.130が使われていました。このIPアドレスの割り当て国を検索※2すると、中国に割り当てられているIPアドレスです。期待通りVPNを使って通信していない証拠と考えて良さそうです。

調査日時(現地時間) 2019年7月23日 20:00から22:00
ホテル名 王宝和大酒店
ホテルのWi-Fiから割り当てられたIPアドレス 10.10.5.37
グローバルIPアドレス 210.13.85.130

※1 株式会社シーマンの「IPアドレス確認」サービスを利用させていただきました。 https://www.cman.jp/network/support/go_access.cgi

※2 株式会社Geolocation Technologyの「IPひろば」サービスを利用させていただきました。 https://www.iphiroba.jp/index.php

調査結果

自社サイト

まず自社のサイトをチェックしました。トップページでは問題がなかったのですが、FacebookとTwitterのSNSボタンのある下層のページでは、iframeなどが読み込めないためか、ブラウザは読み込み待ちの状態になってしまいます。

サイト名 URL 閲覧 可・不可
自社 トップページ https://ayatori.co.jp/
自社 会社紹介 https://ayatori.co.jp/company/ SNSボタン不可

FacebookとTwitterボタンが表示されませんでした


Yahoo! Japan

次にYahoo! Japanのいくつかのサービスを確認したところ以下のような結果になりました。

サイト名 URL 閲覧 可・不可
Yahoo! Japan https://www.yahoo.co.jp/
Yahoo!検索 https://search.yahoo.co.jp/ 不可
Yahoo!地図 https://map.yahoo.co.jp/
Yahoo!ニュース https://news.yahoo.co.jp/

Yahoo! Japanトップページは閲覧可能でしたが、キーワード検索をした場合の検索結果は表示されません。地図やニュースは利用できます。後述しますがGoogleマップは使えませんので、中国人観光客に日本国内の地図情報を提供するのならば、Yahoo!地図を利用するのが良いかもしれません。

Yahoo!ニュースが閲覧できるのはちょっと驚きでした。日本語の記事とはいえ反中的、反共的な記事やコメントも散見されるYahoo!ニュースが中国国内で閲覧できるのはどんな理由からなのでしょうか?

Facebook、Twitter、Amazon

広く知られているように、Facebook、Twitterはまったく利用できませんでした。自社サイトの節でも紹介したようにSNSボタンも機能しませんし、PCブラウザからでも、スマホアプリからでも閲覧できません。ついでに日本のAmazonも確認しましたが、こちらも同様にまったく閲覧できませんでした。

サイト名 URL 閲覧 可・不可
Facebook https://www.facebook.com/ 不可
Twitter https://twitter.com/ 不可
Amazon https://www.amazon.co.jp/ 不可

Google

最後にチェックしたのはGoogleです。中国政府から不正な圧力があったとして2010年に中国から撤退したGoogleは、ウェブサイト構築に必要なさまざまなウェブAPIを提供しており、それらの閲覧可否はぜひ知りたいところでした。

まずは、一般ユーザーでも使用するサービスからチェックしてみました。

サイト名 URL 閲覧 可・不可
Google 検索(米国) https://www.google.com/ 不可
Google 検索 https://www.google.co.jp/ 不可
Google マップ https://www.google.co.jp/maps/ 不可
Google 翻訳 https://translate.google.com/ 不可

検索やマップが使えないことは事前の情報でも得ていましたが、翻訳も使えないことは意外な感じがしました。

次に、Googleが提供している、Google Tag Manager(通称タグマネ)、Google Analytics(通称GA)、Google広告(旧Google Adwords)などのウェブAPIの管理画面が閲覧できるかを確認してみました。

サイト名(管理画面) URL 閲覧 可・不可
Google Tag Manager https://tagmanager.google.com/
Google Analytics https://analytics.google.com/
Google 広告 https://ads.google.com/ 不可

どんな基準で中国政府が管理画面の閲覧可、不可を決めるのかよくわかりませんが、タグマネとGAの管理画面は閲覧可能、Google広告の管理画面が閲覧不可となりました。

つづいて、これらのウェブAPIを使う際にHTML中に埋め込むスニペットタグが動作しているのかを、ブラウザに標準で備わっているデベロッパーツールを使いながら調査したのが以下の表です。

タグ種類 URL(引数の一部を省略) 動作 可・不可
Google Tag Managerタグ https://www.googletagmanager.com
/gtm.js?id...
Google Analyticsタグ https://www.google-analytics.com
/collect?v=1...
Google 広告タグ(リマーケティングタグ) https://www.googletagmanager.com
/gtag/js?id=...

結果は、いずれも正常動作をしていました。Google 広告の管理画面は閲覧できないのに、タグは動作するというのもまた不思議な結果でした。

最後の最後に確認したのは、Google Hosted Librariesが利用できるかでした。Google Hosted Librariesとは、jQueryなどのJavaScriptライブラリを配信するコンテンツ配信システムです。無料であることやサーバーの安定性などから、サイト構築でよく使われるのですが、結論的には、中国国内からは利用することができませんでした。

サイト名 URL 閲覧 可・不可
Google Hosted Libraries https://ajax.googleapis.com/ 不可

ブロッキングの運用フロー

この実態調査を通して、中国政府のブロッキングに関する運用フローが見えてきました。GoogleやYahoo!が提供するサービスであっても、ドメイン単位(正確にはサブドメイン単位)で見られる見られないがあることから、閲覧の可否をドメイン単位(サブドメイン単位)で管理していることはあきらかです。

接続できない場合のエラーメッセージはすべて「ERR_CONNECTION_TIMED_OUT」というものでした。このエラーは、TCP/IP通信においてACK(もしくはNAK)が戻ってこないときのエラーです。これはIPパケットレベル(レイヤ3レベル)のファイアウォールか、それと同等の技術でブロッキングしていることを示唆しています。

おそらくは、中国政府の高級官僚が禁止するドメイン名を決定し、それを受けてネットワークエンジニアが対応するIPアドレスをグレート・ファイアウォールの管理画面で設定しているのでしょう。

同じネットワークのエンジニアとしては、この世界最大のファイアウォールの運営をしているエンジニアのマインドにも関心があったのですが、技術的な設定からは、嫌々感や積極感といった思想が感じられませんでした。おそらくはビジネスライクな(古い言葉ならばノンポリな)エンジニア集団なのでしょう。

目的は国内のIT産業保護?

グレート・ファイアウォールがどんな目的のために構築されているのかという点について、以下の3つの説が巷間でささやかれています。

  • ①中国国内に海外の情報を流入させないため
  • ②中国国内の情報を海外に流出させないため
  • ③中国国内のIT産業を保護するため

もしかすると、中国政府から正確な理由が公開されているのかもしれませんが、とりあえず、今回の調査結果からどの説が正しそうかを推測してみたいと思います。

①中国国内に海外の情報を流入させないため → ×

まず①の「中国国内に海外の情報を流入させないため」という説から検証してみたいと思います。グレート・ファイアウォールは、中国の人民が海外の情報に接するのを防止し、中国共産党に対する批判を生まれないようにするためという説はほぼ定説化しています。しかし、この説明は、今回の調査結果とはまったく合致していません。もし中国共産党にとってふさわしくない情報流入を防止するためとするならば、通販サイトに過ぎないAmazonや単なる広告管理システムに過ぎないGoogle広告の管理画面、さらにはオープンソースのjQueryライブラリへのアクセスを禁止する理由がわからなくなってしまいます。Yahoo!ニュースが禁止されていないのも理屈にあいません。

②中国国内の情報を海外に流出させないため → ×

次に②の「中国国内の情報を海外に流出させないため」という説はどうでしょうか?日本企業でも、情報流出防止を目的にファイアウォールを設置し、社内イントラサイトへのアクセスを禁止したり、情報流出に繋がりかねないサイトの閲覧を禁止したりする例もあることから、説得力がありそうです。しかし、海外から中国国内のサイトへのアクセスが認められていたり、Google Analyticsでの計測が認められていたりするのは矛盾です。これも理屈にあいません。

③中国国内のIT産業を保護するため → 〇

最後の③の「中国国内のIT産業を保護するため」はどうでしょうか?実は、今回の調査結果を見るかぎり、これが最も納得できる説明です。まず禁止対象となるのが、検索や広告出稿ならBuido、SNSならWeChatという具合に類似サービスを中国国内の企業が提供しているものであること。中国国内の詳細地図も提供するGoogleマップはダメだが、詳細地図は日本国内のしか提供しないYahoo!地図はOKという点、VPNなどある程度の手間とコストをかければ回避できる抜け穴があること(完全阻止をしようとしていない点)などは、いかにも自国のIT産業保護的な対応に見えてしまいます。

みなさんでしたら、どのようにお考えになりますか?

中国サイトはどのように作りこんでいくべきか?

いずれにせよグレート・ファイアウォールの向こう側に世界第二の経済力を誇る13億人の市場がある以上、この壁のことを考慮せざるを得ません。

筆者の推測のように中国政府がIT産業保護を主目的にこの壁を運用しているとするのならば、中国と日本が互恵できる関係でのビジネスであるかぎり、直接的な影響はないはずです。

あとは、SNSボタンが表示されないといったグレート・ファイアウォールのテクニカルな影響に巻き込まれないようなサイト構造にしていけばいいだけです。例えばjQueryのライブラリを使いたいのであれば、Google Hosted Librariesを使うのではなく、該当のJavaScriptのファイルをダウンロードして、自社サイト(自社サーバー)から配信するといったひと手間をかければ良いだけのことです。

また、検索や地図などは、Budioなどの中国国内のサービスを使うことも検討する必要があるでしょう。

設定変更の把握ができる仕組みを

ただ、日本国内から中国向けサイトを運用する場合、構築した直後は正常だったものが、グレート・ファイアウォールの設定変更によって突然影響を受けるようになった場合が困ります。

日本国内では正常に閲覧ができる状態がつづきますので、ウェブ担当者はなかなかその異常に気づけず、長期間放置される可能性があります。

中国側に担当者を配置して、定期的にチェックしてもらえるならば良いのですが、担当者のITレベルが低いと状況把握に手間取ったり、専門的なチェックはしてもらえなかったりするおそれもあります。

それに対しては、閲覧に異常が起きているかをチェックするJavaScriptを用意してGoogle Analytics経由などで通知してもらうとか、あるいは中国国内のネットワーク専門家と契約をするといった対応が必要かもしれません。

【補足】hostsファイルの書き換えでは突破できません

※補足的な技術情報です。興味がない方は読み飛ばしてください。

グレート・ファイアウォールについて書かれた記事を検索すると、DNSによる名前解決を禁止するという方法でブロッキングをしていると記載してあるものがあります。本当にそのような方法でブロッキングをおこなっているのかも確認しました。

確認方法としては、VPNを使って日本のDNSを利用した場合の名前解決と、VPNを使わずに中国のDNSを利用した場合の名前解決に差があるのかという方法です。

結果は(少なくとも自分が調べたドメインに関しては)、そのようなブロッキングはおこなわれていませんでした。ブロッキングされているドメインであっても名前解決まではできることをnslookupコマンドで確認しました。そもそも名前解決を禁止する方式でのアクセス制限では各個人のパソコンの設定ファイル(hostsファイル)を書き換えてしまえば簡単に突破されてしまいます。そんな無意味な方法でブロッキングしているとは思えないので、当然の結果ともいえます。

無駄だろうと思いつつ、hostsファイルを書き換えてみましたが、やはりブロッキングされてしまいました。グレート・ファイアウォールのエンジニア集団に抜かりはありません。

ウェブ戦略の専門家がご相談を承ります。お問い合わせフォームはこちらをクリックしてください。
BtoB企業ウェブ担当者必見のお役立ち情報が満載のウェブ戦略ノウハウ資料が無料でダウンロードできます。

東京~大阪までご支援可能です。まずはお問い合わせフォームよりご相談ください。お問い合わせの前によくあるご質問をご覧ください。

ページの先頭へ