中国グレート・ファイアウォール研究

変化し続ける中国

成長いちじるしい中国は、行くたびにその変化に驚かされます。初めて訪れたときは、自転車とバイクと自動車が無秩序に交差する道路、ゴミだらけの路地、扉のないトイレ、社会主義国なのに物乞い、という摩訶不思議な世界でした。しかし、それから20年、街は美しくなり、クラクションの音も消え、高層ビルが立ち並んでいました。

見学をさせていただいた会社も、IT企業の先進性は言うにおよばず、製造業ですら日本との有意な差はなくなっていました。社員の平均年齢の低さ（若さ）を考慮すれば勢いの点で日本企業が劣勢なのは明白でした。

グレート・ファイアウォールについて

さて本題のグレート・ファイアウォールです。

ご存知のとおり、中国ではFacebookやTwitterを使うことができません。Wikipediaによると金盾、グレート・ファイアウォールと呼ばれる中国政府が運営するインターネット検閲システムがあり、それがFacebookやTwitterなどのサービスを遮断しているのだそうです。

Virtual Private Network（以下VPN）などの技術を使えばこれを回避できることも知られていますが、中国政府の技術向上なのか、あるいは、政治的な要請からなのか、少しずつそれらも使いづらくなっているとのことでした。

憲法で検閲の禁止がうたわれている日本との彼我（ひが）の差を感じますが、日本でも児童ポルノサイトや、漫画村といった著作権侵害サイトへの通信をブロッキングしています。

通信の自由の重要さはなんら否定しませんが、他の権利（児童の人権や著作権）への侵害があれば一定の制限が生じるのはやむを得ないでしょう。中国でも、中国なりの理屈があるのだと考えるしかありません。とりあえず、この是非について、この記事で論じるつもりはありません。

ただ、当社のクライアントには中国向けのWebサイトを運営しているお客さまもいらっしゃいます。何がどのようにブロックされているのかは正確に知る必要があります。

中国国内でブロッキングされていることに気づかないと、ページのデザインが崩れたり、（サイト内検索のような）サイト機能の一部が動作しなかったりといった現象を引き起こしてしまうからです。そんなことになっては、せっかく中国向けのサイトを構築しても、中国国内の閲覧者にそっぽを向かれてしまいます。

調査方法

調査と言っても何か特別なことをするのではなく、日本から持ち込んだWindows 10のパソコンを、宿泊したホテルのWi-Fiネットワークに接続し、いくつかのサイトを確認するだけです。

今回、上海で宿泊したホテルは、有名観光地である外灘にほどちかい、王宝和大酒店という4つ星ホテルでした。朝食会場で確認すると、自分たちのような外国人宿泊者もいる一方で、多くの中国人旅行者やビジネスマンも宿泊するホテルでした。

日本で言えば謝恩会を開催するようなランクのホテルでしょうか？Wi-Fiサービスくらいはあるものの、海外客のために独自のVPNサービスなどを提供してくれるような特殊なホテルではありません。おそらくは中国国内の一般的なインターネット環境とそうは違わないでしょう。

ホテルの案内にしたがってWi-Fiに接続すると日本のホテルのWi-Fi接続同様に10.10.5.37というプライベートIPが割り当てられます。グローバルIPが何か気になったので、IPアドレス確認ツール※1でチェックすると210.13.85.130が使われていました。

このIPアドレスの割り当て国を検索※2すると、中国に割り当てられているIPアドレスです。期待通りVPNを使って通信していない証拠と考えて良さそうです。

調査日時	2019年7月23日 20:00から22:00
ホテル名	王宝和大酒店
ホテルのWi-Fiから割り当てられたIPアドレス	10.10.5.37
グローバルIPアドレス	210.13.85.130

※1 株式会社シーマンの「IPアドレス確認」サービスを利用させていただきました。https://www.cman.jp/network/support/go_access.cgi

※2 株式会社Geolocation Technologyの「IPひろば」サービスを利用させていただきました。 https://www.iphiroba.jp/index.php

グレート・ファイアウォール調査結果

自社サイトはどうなったのか？

まずウェブマネジメント®・アカデミー運営元であるあやとりのサイトをチェックしました。トップページでは問題がなかったのですが、FacebookとTwitterのSNSボタンのある下層のページでは、iframeなどが読み込めないためか、ブラウザは読み込み待ちの状態になってしまいます。FacebookとTwitterボタンが表示されませんでした。

サイト名	URL	閲覧 可/不可
自社トップページ	https://ayatori.co.jp/	可
自社 会社紹介	https://ayatori.co.jp/company/	SNSボタン不可

Yahoo! Japan

次にYahoo! Japanのいくつかのサービスを確認したところ以下のような結果になりました。

サイト名	URL	閲覧 可/不可
Yahoo! Japan	https://www.yahoo.co.jp/	可
Yahoo!検索	https://search.yahoo.co.jp/	不可
Yahoo!地図	https://map.yahoo.co.jp/	可
Yahoo!ニュース	https://news.yahoo.co.jp/	可

Yahoo! Japanトップページは閲覧可能でしたが、キーワード検索をした場合の検索結果は表示されません。地図やニュースは利用できます。後述しますがGoogleマップは使えませんので、中国人観光客に日本国内の地図情報を提供するのならば、Yahoo!地図を利用するのが良いかもしれません。

Yahoo!ニュースが閲覧できるのはちょっと驚きでした。日本語の記事とはいえ反中的、反共的な記事やコメントも散見されるYahoo!ニュースが中国国内で閲覧できるのはどんな理由からなのでしょうか？

Facebook、Twitter、Amazon

広く知られているように、Facebook、Twitterはまったく利用できませんでした。

上述したようにSNSボタンも機能しませんし、PCブラウザからでも、スマートフォンアプリからでも閲覧できません。日本のAmazonも確認しましたが、こちらも同様にまったく閲覧できませんでした。

サイト名	URL	閲覧 可/不可
Facebook	https://www.facebook.com/	不可
Twitter	https://twitter.com/	不可
Amazon	https://www.amazon.co.jp/	不可

Google

最後にチェックしたのはGoogleです。中国政府から不正な圧力があったとして2010年に中国から撤退したGoogleは、Webサイト構築に必要なさまざまなWeb APIを提供しており、それらの閲覧可否はぜひ知りたいところでした。

まずは、一般ユーザーでも使用するサービスからチェックしてみました。

サイト名	URL	閲覧 可/不可
Google 検索（米国）	https://www.google.com/	不可
Google 検索	https://www.google.co.jp/	不可
Google マップ	https://www.google.co.jp/maps/	不可
Google 翻訳	https://translate.google.com/	不可

検索やマップが使えないことは事前の情報でも得ていましたが、翻訳も使えないことは意外な感じがしました。

次に、Googleが提供している、Google Tag Manager（通称タグマネ）、Google Analytics（通称GA）、Google広告（旧Google Adwords）などのウェブAPIの管理画面が閲覧できるかを確認してみました。

サイト名（管理画面）	URL	閲覧 可/不可
Google Tag Manager	https://tagmanager.google.com/	可
Google Analytics	https://analytics.google.com/	可
Google 広告	https://ads.google.com/	不可

どんな基準で中国政府が管理画面の閲覧可、不可を決めるのかよくわかりませんが、タグマネとGAの管理画面は閲覧可能、Google広告の管理画面が閲覧不可となりました。

つづいて、これらのWeb APIを使う際にHTML中に埋め込むスニペットタグが動作しているのかを、ブラウザに標準で備わっているデベロッパーツールを使いながら調査したのが以下の表です。

タグ種類	URL（引数の一部を省略）	動作 可/不可
Google Tag Manager タグ	https://www.googletagmanager.com /gtm.js?id...	可
Google Analytics タグ	https://www.google-analytics.com /collect?v=1...	可
Google 広告タグ（リマーケティングタグ）	https://www.googletagmanager.com /gtag/js?id=...	可

結果は、いずれも正常動作をしていました。Google 広告の管理画面は閲覧できないのに、タグは動作するというのもまた不思議な結果でした。

最後の最後に確認したのは、Google Hosted Librariesが利用できるかでした。

Google Hosted Librariesとは、jQueryなどのJavaScriptライブラリを配信するコンテンツ配信システムです。無料であることやサーバーの安定性などから、サイト構築でよく使われるのですが、結論的には、中国国内からは利用することができませんでした。

サイト名	URL	閲覧 可/不可
Google Hosted Libraries	https://ajax.googleapis.com/	不可

調査結果から見えてきたのは、ブロッキングの運用フロー

この実態調査を通して、中国政府のブロッキングに関する運用フローが見えてきました。GoogleやYahoo!が提供するサービスであっても、ドメイン単位（正確にはサブドメイン単位）で見られる見られないがあることから、閲覧の可否をドメイン単位（サブドメイン単位）で管理していることはあきらかです。

接続できない場合のエラーメッセージはすべて「ERR_CONNECTION_TIMED_OUT」というものでした。このエラーは、TCP/IP通信においてACK（もしくはNAK）が戻ってこないときのエラーです。これはIPパケットレベル（レイヤ3レベル）のファイアウォールか、それと同等の技術でブロッキングしていることを示唆しています。

おそらくは、中国政府の高級官僚が禁止するドメイン名を決定し、それを受けてネットワークエンジニアが対応するIPアドレスをグレート・ファイアウォールの管理画面で設定しているのでしょう。

同じネットワークのエンジニアとしては、この世界最大のファイアウォールの運営をしているエンジニアのマインドにも関心があったのですが、技術的な設定からは、嫌々感や積極感といった思想が感じられませんでした。おそらくはビジネスライクな（古い言葉ならばノンポリな）エンジニア集団なのでしょう。

保護の目的は国内のIT産業を保護するためなのか？

グレート・ファイアウォールがどんな目的のために構築されているのかという点について、以下の3つの説が巷間でささやかれています。

1. 中国国内に海外の情報を流入させないため
2. 中国国内の情報を海外に流出させないため
3. 中国国内のIT産業を保護するため

もしかすると、中国政府から正確な理由が公開されているのかもしれませんが、とりあえず、今回の調査結果からどの説が正しそうかを推測してみたいと思います。

1.中国国内に海外の情報を流入させないためというのは違う

まず1の「中国国内に海外の情報を流入させないため」という説から検証してみたいと思います。

グレート・ファイアウォールは、中国の人民が海外の情報に接するのを防止し、中国共産党に対する批判を生まれないようにするためという説明はほぼ定説化しています。

しかし、この説明は、今回の調査結果とはまったく合致していません。もし中国共産党にとってふさわしくない情報流入を防止するためとするならば、通販サイトに過ぎないAmazonや単なる広告管理システムに過ぎないGoogle広告の管理画面、さらにはオープンソースのjQueryライブラリへのアクセスを禁止する理由がわからなくなってしまいます。

Yahoo!ニュースが禁止されていないのも理屈にあいません。

2.中国国内の情報を海外に流出させないためというのは違う

次に2の「中国国内の情報を海外に流出させないため」という説はどうでしょうか？

日本企業でも、情報流出防止を目的にファイアウォールを設置し、社内イントラサイトへのアクセスを禁止したり、情報流出に繋がりかねないサイトの閲覧を禁止したりする例もあることから、説得力がありそうです。

しかし、海外から中国国内のサイトへのアクセスが認められていたり、Google Analyticsでの計測が認められていたりするのは矛盾です。これも理屈にあいません。

3.中国国内のIT産業を保護するためが正解なのではないか？

最後の3の「中国国内のIT産業を保護するため」はどうでしょうか？実は、今回の調査結果を見るかぎり、これが最も納得できる説明です。

まず禁止対象となるのが、検索や広告出稿ならBuido、SNSならWeChatという具合に類似サービスを中国国内の企業が提供しているものであること。

中国国内の詳細地図も提供するGoogleマップはダメだが、詳細地図は日本国内のしか提供しないYahoo!地図はOKという点、VPNなどある程度の手間とコストをかければ回避できる抜け穴があること（完全阻止をしようとしていない点）などは、いかにも自国のIT産業保護的な対応に見えてしまいます。

みなさんでしたら、どのように考えますか？

中国サイトはどのように作りこんでいくべきか？

いずれにせよグレート・ファイアウォールの向こう側に世界第二の経済力を誇る13億人の市場がある以上、この壁のことを考慮せざるを得ません。

筆者の推測のように中国政府がIT産業保護を主目的にこの壁を運用しているとするのならば、中国と日本が互恵できる関係でのビジネスであるかぎり、直接的な影響はないはずです。

あとは、SNSボタンが表示されないといったグレート・ファイアウォールのテクニカルな影響に巻き込まれないようなサイト構造にしていけばいいだけです。例えばjQueryのライブラリを使いたいのであれば、Google Hosted Librariesを使うのではなく、該当のJavaScriptのファイルをダウンロードして、自社サイト（自社サーバー）から配信するといったひと手間をかければ良いだけのことです。

また、検索や地図などは、Budioなどの中国国内のサービスを使うことも検討する必要があるでしょう。

設定変更の把握ができる仕組みを構築する

ただ、日本国内から中国向けサイトを運用する場合、構築した直後は正常だったものが、グレート・ファイアウォールの設定変更によって突然影響を受けるようになった場合が困ります。

日本国内では正常に閲覧ができる状態がつづきますので、Web担当者はなかなかその異常に気づけず、長期間放置される可能性があります。

中国側に担当者を配置して、定期的にチェックしてもらえるならば良いのですが、担当者のITレベルが低いと状況把握に手間取ったり、専門的なチェックはしてもらえなかったりするおそれもあります。

それに対しては、閲覧に異常が起きているかをチェックするJavaScriptを用意してGoogle Analytics経由などで通知してもらう、あるいは中国国内のネットワーク専門家と契約をするといった対応が必要かもしれません。

補足的な技術情報：hostsファイルの書き換えでは突破できない

グレート・ファイアウォールについて書かれた記事を検索すると、DNSによる名前解決を禁止するという方法でブロッキングをしていると記載してあるものがあります。本当にそのような方法でブロッキングをおこなっているのかも確認しました。

確認方法としては、VPNを使って日本のDNSを利用した場合の名前解決と、VPNを使わずに中国のDNSを利用した場合の名前解決に差があるのかという方法です。

結果は（少なくとも自分が調べたドメインに関しては）、そのようなブロッキングはおこなわれていませんでした。ブロッキングされているドメインであっても名前解決まではできることをnslookupコマンドで確認しました。

そもそも名前解決を禁止する方式でのアクセス制限では各個人のパソコンの設定ファイル（hostsファイル）を書き換えてしまえば簡単に突破されてしまいます。そんな無意味な方法でブロッキングしているとは思えないので、当然の結果ともいえます。

絶対に無駄だろうと思いつつ、hostsファイルを書き換えてFacebookに接続できないか試してみましたが、やはりブロッキングされてしまいました。グレート・ファイアウォールのエンジニア集団に抜かりはありません。

グレート・ファイアウォールの設定変更を把握するために

グレート・ファイアウォールの設定変更を把握するための計測タグの実装をしたいという依頼を受け、あやとりでは、技術サポートを開始しています。

早速、Google Analyticsの計測タグを実装してみると、期待通り、中国からと思われる閲覧でエラーが起きている様子を計測することができました。

計測をおこなってみたい方は、あやとりお問い合わせよりご相談ください。有償にて技術サポートをさせていただきます。

ところで、計測ができるようになった結果、一つ想定外のことが判明しました。閲覧エラーは、中国からの閲覧だけでなく、日本国内からの閲覧でも多く発生しています。

どうやら企業などで導入されているセキュリティ対策のファイアウォールの影響を受け、企業内からの（特にファイアウォールを導入するような大企業からの）閲覧でエラーを起こしているようです。

中国からにしろ、日本国内の企業からにしろ閲覧者にご不便をかけることはサイト運営者として適切なことではありません。そのような状況も把握することができます。