サーバ管理者用 Torの悪用についてのFAQ

Torを使って犯罪者が悪いことをしたりしませんか?

犯罪者たちは既に悪いことをやっています。彼らは法律を破ること などものともしませんから、Torが提供するプライバシー情報などより もっと価値のあるプライバシー情報を得るための選択肢を 持っています。彼らはセルフォンを盗み、それを使い、溝に捨てる ことができます;朝鮮やブラジルにあるコンピュータにクラッキングに よって侵入し、それらを使って悪い活動を始めることができます; スパイウェア、コンピュータウイルス、その他の技術を使って 文字どおり世界中の数百万のWindowsマシンを乗っ取ることもできます。

Torは法を遵守したいと思っている普通の人々を保護することを 目的としています。今のところ犯罪者だけがプライバシーを有している 状態ですが、私達はこれを是正しなければなりません。

匿名性を擁護する人々の中には、よい道具を悪く使う者が 現れることはやむを得ないとしてそれはただのトレードオフに過ぎない と説明する向きもありますが、他にも事情があります。  犯罪者やその他の悪い人たちは、質の良い匿名性を獲得する方法を 学ぶことに対して意欲があり、彼らの多くはそれを獲得するためには いくら払っても構わないと思っています。罪のない犠牲者の IDを盗んで再利用する(アイデンティティ窃盗)は、それをさらに 容易にします。一方、普通の人々はオンラインでのプライバシーを 獲得する方法を探すのに必要な時間もお金も持っていません。この 状態は最悪なのです。

従ってご懸念のとおり、理論的には犯罪者たちはTorを使うかも しれませんが、しかし彼らは既にもっとましな選択肢を持っている のです。したがってこの世界からTorを撤去してみたとしても、そのこと によって彼らが悪いことをしでかすことを防ぐことにはならない でしょう。それどころか、Torやその他のプライバシー保護手段は、 アイデンティティ窃盗やストーキングのような物理的な犯罪その他と 闘うことができるのです。

DDoS攻撃に利用されたらどうするのですか?

分散型サービス拒否攻撃(DDoS)の典型は、犠牲者に対して大量のトラフィック を送り付ける数千のコンピュータのグループを必要とします。その目的は 犠牲者の帯域処理能力を上回ることにあるので、彼らは典型的にはUDPパケットを 送り付けます。UDPパケットならばハンドシェイクも協調も必要ないからです。

しかしTorは、すべてのIPパケットではなく、正しい形式の TCPストリームしか転送しません。Torを通じてUDPパケットを送ることは できないのです。(この攻撃の一変種であるSYNフラッド攻撃も また不可能です)従って、Torを通して通常のDDoS攻撃を行うことは不可能です。 また、Torは外部のサイトに対する帯域増幅攻撃をも許しません: Torがあなたの目的地に送信するすべてのバイトは1バイトずつ送り込む 必要があるからです。従って一般的には、DDoS攻撃を行うために十分な 帯域を制御しようとする攻撃者はTorを外さなければ十分な成果を得る ことができないのです。

スパマーについてはどうですか?

まず、Torの出力ポリシーは25番ポート(SMTP)からの送信を拒否します。 従って、デフォルトではTorを通してスパムメールを送ることはできないでしょう。 ただ、幾つかのサーバ管理者がその管理する出口ノードの25番ポートを 開けることはあり得ることです。この場合、そのコンピュータはメール送出を 許可してしまうことになります;しかしこの場合、この管理者はTorとは無関係に 単にオープンメールリレーをもセットアップすることも出来たはずです。 手短に言えば、ほとんど全てのTorサーバはメール配信を拒絶するため、 Torはスパムメール送信に使いやすいものではないということです。

もちろん、メールの配信だけが問題なのではありません。スパマーは 公開HTTPプロキシに接続し(そこからSMTPサーバへ接続させる)ためにTorを 利用することができます;あるいはまずく書かれたメール送信CGIスクリプト に接続することもできます;または彼らのボットネットを制御することも できますーつまり、スパムを配信する密かに乗っ取ったコンピュータの軍団と 交信することができるということです。

これは恥ずべきことですが、Torなしでもスパマーはすでに大活躍して いるということに留意してください。また、Torは正しい形式のTCPコネクション しか転送しないため、彼らの使うより巧妙な交信(スプーフィングされたUDPパケット) の多くはTorを通して使うことはできないということを覚えておいてください。

Torの出力ポリシーは どのように機能するのですか?

Torサーバはそれぞれに、当該サーバからのどの種類のアウトバウンド接続が 許可または拒否されるかを指定する出力ポリシーを持っています。 出力ポリシーはディレクトリサービスを通じてクライアントに伝播されるので、 クライアントは自分がアクセスしようとしている目的地へ至ることを 拒否するような出口ノードを選んでしまうことを自動的に避けることが できます。

これによって各サーバは、接続を許可するサービス、ホストおよびネットワーク を、悪用の可能性および当該サーバの置かれた状況に基づいて決定することが できます。

Torは実際、よく悪用されてますか?

大局的にはそれほどでもありません。私達は2003年の10月からネットワークを 運用を続けていますが、その間に寄せられた苦情はほんの僅かに過ぎません。 もちろん、すべてのネット上のプライバシー指向のネットワークと同様、 悪い奴らの標的になりやすいのですが。その点、Torの出力ポリシーは "ネットワークにリソースを提供する"役割を"出口ノードに対する苦情に 対処する"役割から分離することを容易にしてくれるので、私達の ネットワークは過去に存在した匿名ネットワークの試みと比較して より維持しやすいものになっているものと期待しています。

Torの 良い使い方もたくさんあります 。私達は両者のバランスをかなりうまく取っているものと感じています。

サーバを運用した場合、 どんなことを覚悟しなければならないでしょうか?

あなたが出口接続を許すTorサーバを運用した場合(デフォルトポリシー に類似した出力ポリシーなら)、いずれは必ず誰かから何か文句を言われる ことになると言って間違いないでしょう。苦情は様々な形であなたの もとに届くでしょう。例えば:

またあなたは、あなたのTorサーバのIPがあるインターネットサイト/サービス によってブロックされているのを発見するかもしれません。ある人々は Torに出力ポリシーというものがあることを知らず、また気にもしていないらしく、 そのためにあなたがどのような出力ポリシーを設定しようとそれに関わりなく このブロックは起こり得ます(もしあなたが他の活動に使用していない予備の IPアドレスをお持ちなら、Torサーバのためのそれを使うことを検討してください)。 例えば、

Torは私が使いたいと思っている IRCネットワークによって禁止されてしまっています。

時に悪い奴らはTorをIRCチャネル荒しのために用います。この悪用の結果、 ネットワーク管理者が彼らのネットワークから荒しを締め出そうとして、 一時的な特定IPからのアクセス禁止措置がなされます (IRC用語ではこれを"kline"と言います)。

この対応によってIRCのセキュリティモデルの根本的な欠陥が浮き彫りに なります:彼らはIPアドレスが人間と同等であるという前提に立った上で、 IPアドレスを禁止することで人間の行為を禁止することができると考えて いるのです。これは現実に当てはまりませんー多くのこういった荒し行為は、 インターネット上の文字どおり数百万の公開プロキシと乗っ取られた コンピュータを利用しているのが普通です。IRCネットワークはこれらすべての ノードをブロックしようと悪戦苦闘しており、この(アンチウイルス産業と 同様)欠陥のあるセキュリティモデルに基づいて完全な家内工業的ブラックリスト ないし荒し対策が打ち出されているだけのことです。この場合、Tor ネットワークなどはバケツの中の一滴の水のような小さな問題に過ぎません。

一方、IRCサーバ管理者の視点に立ってみれば、セキュリティとは オール・オア・ナッシングの問題ではありません。荒し行為その他の ソーシャルアタックに対して迅速に対応することによって、そのような 攻撃シナリオが攻撃者にとってより魅力的でないようにすることは 可能でしょう。そしてある特定のIRCネットワークにおいてある特定の時点で 見れば、ほとんどの個々のIPアドレスは個々の人間に対応します。 例外としては、NATゲートウェイが配置されている場合に、これが特殊なケースとして アクセスすることが挙げられます。公開プロキシの利用を止めさせようとする ことは勝ち目のない闘いですが、ある一人の変な振舞いをするIRCユーザに対して、 彼が飽きて去ってしまうまで遮断を続けることはそれほど悪くない戦法 です。

しかしながらこの問題に対する現実的な回答は、アプリケーションレベルで 認証システムを実装してちゃんとしたユーザを入れて悪さをするユーザを 締め出すようにすることです。この方法は、パケットが送られてきた 手法の一定の属性に基づくのではなく、人間の持つ一定の属性 (パスワードのような)に基づく必要があります。

もちろん、すべてのIRCネットワークがTorノードを締め出そうと しているわけではありません。結局、Torを使って現実世界の身元に 縛られることなく合法的なコミュニケーションをするため個人的にIRCに アクセスしようという人の人数はかなり少数にとどまります。それぞれの IRCネットワークは、Torを正しく使っている人々からの寄稿を失う結果に なってでも、悪い人たちが使うことのできる数百万かそれ以上のIPアドレスを ブロックするべきなのかどうかを、自身で決定しなければならないと いうことです。

もしあなたのサーバがブロックされたら、ネットワーク管理者と議論を 交わして問題点を彼らに説明してください。彼らはTorの存在を全く知らない かもしれません、あるいは彼らは遮断したホストネームがTorの出口ノードだと いうことに気づいていないのかも知れません。もしあなたが問題を説明しても 彼らがTorをブロックすべきだと結論付けた場合は、あなたはもっと自由な ネットワークに移行することを考えたほうがよいでしょう。 恐らく彼らに#tor on irc.oftc.netを紹介してあげれば、彼らに私達の すべてが悪い人々ではないということを理解してもらうための一助と なることでしょう。

最後に、もしあなたがTorまたは特定のTor出口ノードをブロックしていると 思しきIRCネットワークを発見したら、その情報を他の人々と共有できるように Tor IRCブロックトラッカーに追加してください。 少なくとも一つのIRCネットワークはこのページを参照して、今まで うっかりして掛けていた出口ノードに対するブロックを解除するのに使っています。

あなた方のノードは私が使いたいと 思っているメールサーバによって禁止されています。

Torはスパム配信に有効ではありません が、ブラックリスト収集に異常に熱心な一定の人々は、Torのような 公開ネットワークの全てを邪悪なものだと考えているようですー 彼らはポリシー、サービスおよびルーティング問題について 強権的なネットワーク管理者であろうとする結果、罪もない人々に その犠牲を押し付けることになります。

もしあなたのサーバ管理者がこれらのブラックリストを利用することを 決めたなら、彼らと対話してTorとその出力ポリシーについて説明して あげてください。

Torネットワークを私のサービスに アクセスできないように禁止しようと思っているのですが。

それは残念です。あるインターネットサービスに対する匿名ユーザからの アクセスをブロックすることは、ある一定の状況下では意味のあることです。 しかしながら多くの場合、あなたのウェブサイトにユーザがアクセスする ことを許可しつつ、問題を解決するより簡単な方法が存在するものです。

まず第一に、悪い連中とまともなユーザとを区別するために アプリケーションレベルの決定が可能でないかどうかを自身に問うてみて ください。例えば、あなたのサイトの一定のエリアまたは投稿するなどの 一定の特権を、登録した人々にのみ限定することができるかもしれません。 最新のTorノードのIPアドレスのリストを作成することは簡単なことですから、 これらの制限をTorユーザだけに対して課すこともできます。こうすれば 多層的なアクセスを許可することが可能になり、あなたのサービスの すべてを禁止する必要がなくなります。

例えば、Freenode IRCネットワーク は、悪用者がグループで共同してチャネルに参加し、密かに会話を独占する行為に 悩まされていました;ところが、Torノードから来たすべてのユーザに対して "匿名ユーザ"という名前を付けて悪用者が他のユーザに紛れ込むことを 不可能にした途端、彼らは公開プロキシおよびボットネットの使用へと 逆戻りしたということです。

第二に、毎日数十万人もの人々がよいデータハイジーンの手段として利用する というだけの動機でTorを利用しているという事実を考慮してくださいー 例えば、彼らの正常な活動を広告会社のデータ収集に対して保護するために 使われます。あるTorユーザはあなたのサービスに合法的に接続して正常な 活動を行っているだけかもしれません。あなたは、将来の潜在的な合法的ユーザも 含めたこういったユーザの参加を失ってまでもTorネットワークからのアクセスを 禁じる価値があるのかどうかを決めなければなりません。(しばしば、人々は 彼らのサービスに対して何人の礼儀正しいTorユーザが接続しているのかを測る よい基準を知りませんーあなたは彼らがそうだと分かるまでかれらを悪い人 呼ばわりしてはいけません。)

現在のところ、数個のIPアドレスの背後に多数のユーザを集めるような その他のサービスについてどうするかは、あなた自身が決めなければ なりません。この点に関しては、TorはAOLとさしたる違いはありません。

最後に、Torサーバが個別の出力ポリシーを持っていることを 忘れないでください。多くのTorノードは出口接続そのものをまったく 許可していません。何らかの出口接続を許しているノードの多くは、 すでにあなたのサービスに対する接続を許可していないでしょう。 あなたがTorノードを禁止しようとするなら、 出力ポリシーを解析してそれらの接続を許可するノードだけを ブロックしてください。そして、出力ポリシーは(ネットワーク上で 稼働する全ノードリストと同様)将来変更されうるものだと いうことを忘れないようにすべきです。

もしあなたがそれを本当にやりたいのなら、 TorディレクトリをパースするPythonスクリプト を使ってください。(このスクリプトはあなたに対してTorを使って接続してくる可能性 のあるIPアドレスの完全なリストを提供するものではないということに注意してください。 Torサーバの中には公開されているアドレスから別のアドレスへ移行するものも含まれている 可能性があるからです。)

Torユーザを追跡すべき差し迫った理由が あります。追跡を助けてくれますか?

Torユーザを追跡するためにTor開発者が出来ることは何もありません。 悪い人たちがTorの匿名性を破ることを防いでくれている同じ防御方法が、 私達が何が起こっているのかを割出すことを妨げるでしょう。

あるファンが、Torを設計し直してバックドア を仕掛けるように提案してきたことがあります。 このアイディアには二つの問題があります。まず第一に、それをやると 技術的にシステムをあまりも弱めてしまいます。ユーザと彼らの活動とを 結びつける集権的な方法を作ってしまうと、それがあらゆる種類の 攻撃者にとって格好の的になってしまいます;そしてこの役割を正しく扱うのに 必要となるポリシー機構は膨大で解決困難なものとなってしまいます。 第二に、悪い人たちをこの方法で 捕まえることはどのみち出来ないことなのです。何故なら、彼らは 自身の匿名性を確保するために他の手段(アイデンティティ窃盗、 乗っ取ったコンピュータおよびこれをバウンスポイントとして利用する等々) を使うからです。

しかし覚えておいてください、このことはTorが絶対に攻撃されないという意味 ではありません。容疑者の取調べ、張り込みとキーボード盗聴、筆跡鑑定、 おとり捜査、その他の物理的な捜査のような、伝統的な警察技術でも 依然としてTorに対して有効です。

Torの悪用について 法律に関する質問があるのですが。

私達は開発者に過ぎません。私達は技術的な質問に答えることは 出来ても、法的な質問や懸案事項について語るべき立場にはありません。

Tor法律FAQをご覧になってみて ください。さらに法律に関する質問がある場合はEFFに直に連絡を取ってください。

管理者 - 最終更新: Tue Jul 8 11:01:12 2008 - 最終コンパイル: Sat Nov 29 06:27:04 2008

警告: この翻訳は古いバージョンのものである可能性があります。英文のオリジナルは現在、リビジョン 17405 ですが、この翻訳は 10377 に基づいています。

このページは以下の言語でも閲覧することができます: Deutsch, English, español, français, Italiano, polski, svenska
ドキュメントのデフォルト言語を設定する方法。

Torの開発者もEFFもこの翻訳の正確性および正当性を検証したわけではありません。 内容が古くなったり誤りを含んでいる可能性があります。 正規のTorのウェブサイトはhttps://www.torproject.org/から入手できる英語版です。