チャイルドフィルターを少し試してみたけど、やっぱりお薦めできなかった…

さて、ここしばらく(表立ってアナウンスされてはいなかったけど)メンテナンスを理由に新規申込みが停止していた、サイバーセキュリティ財団が提供するチャイルドフィルター。どうやら、サービスを提供するためのインフラ部分を作り直していた模様。

それならそれで、ちゃんとアナウンスすればいいのに、と思いつつ、利用申し込みフォームも再び有効になったので、改めて使ってみようということで、申込みをしてみた。

チャイルドフィルター利用申込みフォーム

申し込みの一時停止前は、メールアドレスだけで登録出来たのですけど、メンテナンスのタイミングで変更されていました。
メールアドレス以外に、チャイルドフィルターを利用させたい子供の学年と性別、使わせている iOS デバイスを選択した上での申込みとなります。


で、申し込みをすると、以下のようなプロファイルのダウンロード先 URL が記載されたメールが送られてきますので、

申込み完了メールの文面

その URL に対してフィルタリングさせたい iOS デバイスでアクセス。
プロファイルのダウンロードリンクをクリックするとプロファイルがダウンロードされ、ダウンロード完了と同時に、プロファイルのインストールがスタートするので、あとは画面の指示通り進めていきます。

プロファイルインストール - 1プロファイルインストール - 2プロファイルインストール - 3プロファイルインストール - 4プロファイルインストール - 5

プロファイルのインストール完了後、一息待たされて チャイルドフィルターの VPN サーバへの接続が自動的に実行され、正常に接続されると、以降のネットワークアクセスは Wi-Fi 、LTE 問わず全てサイバーセキュリティ財団が保有する設備を経由して行われることとなります。

ただ、メンテナンス前に入手したプロファイルを使ったときは、利用者の意志で VPN 接続を停止することが出来ませんでしたが、メンテ後のものだと任意にオンンデマンド接続や VPN 接続を自体を ON ↔ OFF することが出来ました。ということは、子供が勝手にチャイルドフィルターの利用を回避出来る?ということになるわけですが、これでいいのかな…。(プロファイルも削除できるんだが…。)

VPN接続設定オンデマンド接続設定プロファイル削除

実際、幾つかの Web サイトにアクセスしてみた感じでは、体感的には気になるようなレスポン低下といったこともなく、フィルタ自体も機能していることは確認できました。ブロックされた場合は、サイバーセキュリティ財団のサイトに用意されているページに転送されるようですね。
#自分たちに批判的なページをブロックする、ということまではしていないようです、今のところ…。

アクセス成功時アクセスブロック時

ただ、なんか自分が考えていたのとフィルタリングの挙動が違っていた点が、ちらほら…。
例えば、某フィルタリング製品の場合、下着メーカーは任意にアクセスを制御出来るように、アダルトカテゴリーのサブカテゴリーであるグラビアに含まれていたりするんで試してみたところ、ワコールはブロックされて、トリンプはブロックされない、という結果に…。

あと、チェックしてて気になったのは、"カリビアン"をキーワードにググッた結果からアクセスした時に、 PATH を含まない URL の場合はブロックするのに、ファイル名まで含む URL だと抜けてしまった、というのがありました。部分一致でフィルタしていれば、起きないことなんだけどな。

フルPATHだとブロックされない?

そういえば、同じ某フィルタリング製品では、1年ぐらい前にアダルトカテゴリーから外れた Playboy.com はブロックされました。ヌードグラビアを排除するという大改革やったんですけどねぇ。> Playboy.com
サイト側の状況をチェックして、ルールの調整ってしてないんだろうか…。

また、コンテンツの内容で、フィルタしているということもなさそうに感じました。
eicar のテストファイルへのアクセスを試してみたのですが、テストシグネチャがそのまま表示されました。これ、何らかのアンチウィスル機能が組み込まれているのであれば、eicar テストファイルには反応する可能性が高いのですが、そのまま表示されたことからウィルスチェック機能は組み込まれていない、とみてよさそうです。

eicarテストファイル(SSLあり)eicarテストファイル(SSLなし)

SSLをデコードする機能も、今回試した中では実装されているかどうかは不明です。
もし eicar テストファイルへのアクセスがブロックされていれれば、どういった状況でブロックされたのかから、ある程度は類推できたかもしれませんが…。

長時間使い込んだわけではないので、ほとんど憶測に近いですけど、上に列記したことから判断するにフィルタリングに関しては、何か大きな落とし穴が出てきそうな気がします。
フィルタリングルールを整備しようとすると、とてつもなくリソース(人手を含む)を要するんですが、それをやるだけの体制をサイバーセキュリティ財団が用意しているようには思えないのですよ。タイムリーかつ迅速、そしてコマメにフィルタリングルールに手を入れていかないと、この手のサービスはレベルが維持出来ないと思うんだけどなぁ。

メンテナンス前後で大きく変わった点

フィルタリングの機能以外が中心ですが、

  • 1メールアドレスに対して複数のプロファイルを発行する形から、1メールアドレス1プロファイルに。
    • メンテナンス前はプロファイルを発行する為に Web 上の管理画面にアクセスしてプロファイル発行、というステップがありましたが、そのステップがバッサリなくなりました。というか、管理画面自体が存在しません。
    • まぁ、同じメールアドレスを使っても、プロファイルは別のものが生成されるようにはなっているようので、申込者一人でいくつでもプロファイルが作れます。(実際、同一メールアドレスで複数回申し込みして確認済み。)
  • 利用停止時の手続きが、大幅に簡素化された。
    • メンテナンス前は「プロファイル削除のため」のプロファイル発行を申し込まないといけなかった(のに、申し込んでも無視されてた)のが、プロファイルが削除できるように!(多分、これが一番の改善点だと思うぞ?)
    • 利用停止の対応、メンテ前は人が対応していたんんだけど、財団内でそのフローが回ってなかった疑いが濃厚。
  • VPN 接続やオンデマンド接続の設定が、ユーザレベルで簡単に変更できる。(上にも書いたとおり。)

といったあたりが、メンテナンスの前後で変わっていますね。

ネットワークのレベルで見ると、VPN の接続先が childfilter-vpn.smart-secret.net から childfilter-svr.csf.or.jp に変わって、

$ dig childfilter-svr.csf.or.jp

; <<>> DiG 9.10.4-P5-Debian <<>> childfilter-svr.csf.or.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44165
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;childfilter-svr.csf.or.jp. IN A

;; ANSWER SECTION:
childfilter-svr.csf.or.jp. 295 IN A 160.16.122.38
childfilter-svr.csf.or.jp. 295 IN A 160.16.124.12
childfilter-svr.csf.or.jp. 295 IN A 160.16.93.89
childfilter-svr.csf.or.jp. 295 IN A 160.16.54.211
childfilter-svr.csf.or.jp. 295 IN A 49.212.217.84
childfilter-svr.csf.or.jp. 295 IN A 49.212.143.145
childfilter-svr.csf.or.jp. 295 IN A 160.16.77.158

;; AUTHORITY SECTION:
csf.or.jp. 163592 IN NS ns-1733.awsdns-24.co.uk.
csf.or.jp. 163592 IN NS ns-77.awsdns-09.com.
csf.or.jp. 163592 IN NS ns-816.awsdns-38.net.
csf.or.jp. 163592 IN NS ns-1427.awsdns-50.org.

;; Query time: 7 msec
;; SERVER: 172.16.0.11#53(172.16.0.11)
;; WHEN: Sat Apr 29 03:35:12 JST 2017
;; MSG SIZE rcvd: 305

台数が増えていたりします。IP アドレスからみて、さくらインターネットにサーバを借りているようですが、この台数を使い切るぐらいユーザ集まることを想定しているんでしょうねぇ、多分…。フィルタリングルールの同期とか省力化しておかないと、あとで泣くぞ、この構成は…。
#小さく始めて、大きく育てるようにしていけばいいのに、と思ってしまうのは、ある意味職業病だな…。

冒頭で引用した tweet 中の画像で「サーバのメンテナンスを実施し当システムを移管しました」という文言があったのですが、どうやら smart-secret.net のドメイン名の保有者と思われる HUNSLAB から サイバーセキュリティ財団に「移管した」ということのようですね。というか、いままで smart-secret.net に相乗りしていたのを、自分たちの管理下に置くために分離した、といったほうが意味合い的にあっていそうです。

ま、お手並み拝見、ということで。こちらからの質問を1ヶ月以上放置されてたり、フィルタリングのルールの扱いに関することとか全体的に提供されている情報が非常に不足しているのに、形だけ整えたところで、まともに運営が行えるのかについては、大いに疑問ですけどね。

三大携帯キャリアの利用者だったら、無償提供されている「あんしんフイルター」を利用したり、i-フィルターのような製品を利用するほうが、確実かつ安心出来ると思いますよ、マジな話…。

トラックバック(0)

コメントする