なお、次回開催予定も発表されています。 5月30日の16:00からです(私は、今、世界剣道大会関連でイタリアにいるので恐らく傍聴に行けませんが)。
なお、次回開催予定も発表されています。 5月30日の16:00からです(私は、今、世界剣道大会関連でイタリアにいるので恐らく傍聴に行けませんが)。
DNSでのAAAAフィルタリングが短期的な暫定的対応であり、IPv6の普及促進が重要であるという点は、発表を行った4者で共通していました。
新しい情報としては、IPv6 IPoE VNE(Virtual Network Enabler)数の増加や、新規契約でのIPv6 IPoE無料化がNTT東日本から公表されたことがあげられます。 増加数に関しては、現時点では検討が必要であるとのことでした。 VNEは現時点ではBBIX、JPNE、インターネットマルチフィードの3社です。
配布資料や議事概要は、「総務省 | IPv6によるインターネットの利用高度化に関する研究」のページで後日公開されると思うので、個人的に興味を持った部分を中心に簡単に記述します。
最初の発表を行ったのがGoogleの及川卓也氏でした。 及川氏は、発表後に退席されたため、質疑応答は代理の方が行われていました。
14ページに以下のような内容が含まれていました。
- 主要な世界的ウェブサイトは、問題のあるネットワークへのIPv6を無効にする
- Googleは問題のあるネットワークのDNSサーバーのリストを公開する予定
- リストは誰でも使用できるように公開される
- 主要なグローバル・サイトは、このリストの利用を検討中
- Google、Yahoo!US、Facebook、Akamai
後の質疑応答で話題になったのが発表資料(26ページ)に含まれていた「IPv6普及の数値目標」です。 発表資料最後のページである26ページには、以下のように記載されていました。
まとめると
- 今後2〜3年でIPv6の本格普及が必要
- これがユーザーが実際にIPv6を利用できるようにするために必要
- 実際にユーザーがIPv6を利用できないようなIPv6の広範な普及を避けるには、IPv6を使うユーザーを増やすことが求められる。
- これがIPv6本格普及のために必要な唯一の方法
- 2桁台のIPv6利用率が必要
- 一つの解決策
- IPv6を本格的に普及させるため、既存のオプションをわずかに変更
- できかぎり広範囲にこの解決策を普及させる
- 進捗を評価できるよう「数値目標」を設定することが大切
- Googleは求められれば、「数値目標」の設定に必要なデータを提供可
- これ以外の提案に同意いただけない場合であっても、この提案は受け入れていただきたい。
マイクロソフトの田丸健三郎氏が、OS提供者の視点で発表をされていました。
その中で、興味深かったのが以下のような部分です(14ページ)。
避けるべき解決策
- プレフィックス ポリシーの編集など、ホストの構成を変更する
- プレフィックスポリシーの編集は推奨されていない。(少なくともWindowsにおいて)
- ユーザーが何らかの作業を行わなくてはならず、ITスキルの違いによるコミュニケーションの難しさ、構成変更作業における誤り、作業負荷発生など様々な課題が内在する。
- ユーザーの使用状況を想定することは出来ない。モバイルユーザーなどは、自宅、モバイルWiFi、外出先など、その接続環境は一定ではなく、接続できなくなる可能性がある。
- ポリシーのスタンダードな構成がない
- プレフィックスポリシーを編集することは一般的な方法ではない。
この部分に関しては、最後の質疑応答で質問されていましたが、World IPv6 Dayの対策としてプレフィックスポリシー変更を推奨したところ、それによって想定できないトラブルが発生したことがあったためであると回答されていました。
NTT東日本の井上福造氏が「フレッツ光におけるIPv6インターネット普及に向けたNTT東西の取り組みについて」という発表をされていました。
発表内容は、非常に大きな変化を公表するものであり、NTT IPv6閉域網問題が大きく動いたという感想を持ちました。
課題1:IPv6 IPoEの申し込み方法の簡素化
- IPv6 IPoE(ネイティブ方式)の申し込み簡素化
- IPv4と同時に、お客さまがワンストップで申し込み手続きを完了する仕組みの提供(6月以降に提供予定)
- 新規申し込み回線へのフレッツ・v6オプションの工事費無料化
- NTT東日本:5月下旬申し込み分より
- NTT西日本:6月上旬申し込み分より
- VNE事業者様の新規参入枠拡大
- VNE事業者拡大の目途は立った
- 具体的な可能参入数とスケジュールについては条件が固まり次第、公表する
課題2:IPv6 PPPoEをご利用いただく際のイニシャルコストの低廉化
- IPv6トンネル対応アダプタの更なる低廉化
- NTT東西では提供開始時に1万円を切る販売価格を実現
- さらに無線LANカードとセットにして割賦による提供も実施中
730円/月(ボーナス併用12回払いの場合)- ISP事業者様の販売計画を鑑み、ビジネスベースで更なる低廉化を検討
課題3:Bフレッツ/光プレミアムはマイグレーションによって、お客さまへのIPv6インターネット提供
Bフレッツ/光プレミアム
- マイグレーションはネットワーク基幹部分は平成24年度末に、一部サーバについては平成25年度末を目途に完了
- マイグレーション完了後のIPv6インターネット提供方法について検討中
口頭で、Bフレッツ/光プレミアムは現在6割と述べられていました。
恐らく、先日行われたISP説明会と同じ内容だと思います。
参考:JAIPA「World IPv6 Launch対応について(第2版)」公開
Googleに対して「問題があるDNSの定義」とは何であるかという質問があり、DNS情報公開時にデシジョンの基準についても出来るだけ透明性を確保したいという発言がありました。
マイクロソフトとGoogleに対して、それぞれ「IPv6閉域網は、こわれているのか?」という質問が行われました。 「IPv6でクローズドなネットワークに繋がるのは駄目なのか?」や「フォールバックするような環境を作ることが駄目なのか?」のような感じで、何度か表現を変更しつつ質問が行われていましたが、「フォールバック問題が発生するIPv6ネットワークは壊れている」という趣旨の回答が行われていました。
VNE数の増大がどれぐらいのオーダーなのかに関しての質問がありましたが、それに対してNTT東日本の井上氏は、まだ調整中であり正式な数は申し上げにくいとしながらも、「数十」と発言されていました。 その後、既存のVNEからビジネス的な観点なども必要であるという意見も出ましたが、「数十」というのは技術的な数値であり、合理的な数値がどれぐらいになるのかは今後検討が必要という話もありました。
Googleの発表資料中(24ページ)に「オプション4」という項目があり、そこに「イコールアクセスではない 3つVNEによる寡占」とありますが、そのことに対してJPNEから、すぐに契約したいというお客様がおらず儲からないことを述べつつVNEが増えればIPv6が普及するというのは短絡的ではないか?という意見が述べられ、それに対して「交渉の当事者ではないので、IPv6が普及するのであれば、その手段はどちらでもよい。VNEを増やしてほしいという声がISPからあったので載せた。」という趣旨の返答が行われていました。
BBIXから、「目途がたった」の根拠がNTT東日本に質問されました。 それに対して、網のキャパシティ増強などによって経路数増加に対応できるようになったと回答されていました。 ただし、現時点のルールが3社限定を前提としているため、VNE数が増加するのであれば、その部分に関して変わる可能性もあるとされていました。 また、非公式に「数十」とされたのは、あくまで技術的な観点であり、論理的な数と現実的な数は別であるとも述べられていました。
最後に「IPv6普及の数値目標」に関して、静かでありながらも激しい議論がありました。 「IPv6によるインターネットの利用高度化に関する研究会」での数値目標を策定すべきであると、Googleが強く主張したのに対して、複数の教授から「国ではなく業界団体で自主的に行うべきである」という意見が述べられていました。 個人的には、この議論は結構ドキドキする内容で、傍聴していて多少怖かったのですが詳細は割愛致します。 興味があるかたは、総務省から公開されるであろう議事概要を後日ご覧頂くのが良いと思います。
一つは、アットマーク・アイティで書いたIPv4アドレス在庫枯渇問題のまとめ記事です。
もう一つは、gihyo.jpで連載させて頂いている「IPv6対応への道しるべ」の第8回で、IPv4アドレス移転仲介事業である「ipiten.jp」を行っているサイバーエリアリサーチ株式会社へのインタビューです。 ipiten.jpは、恐らく現時点で日本唯一のIPv4アドレス仲介事業だと思われます。
「IPv6対応への道しるべ」では、第5回から4回続けてIPv4アドレス在庫枯渇問題について書いていますが、第9回もIPv4の話題を書いてからIPv6の話題になる予定です。
宜しくお願い致します。
資料が公開されたのは、4月27日に公開された「ISPのWorld IPv6 Launch対応説明会第2回の開催につきまして」というお知らせの追記としてです。
以下、個人的に興味を持った部分を紹介します。 公表された資料には、他にも色々なことが書かれているので、詳細は是非原文をご覧下さい。
第2版を読んだ感想として、第1版とはかなり大きく異なると思いました。 第1版は、主にAAAAフィルタを効果的に実施する方法が主眼であったのに対して、第2版の主眼は長期的視点を含めた解決手法等にも言及されています。
図も非常に見やすくなり、論点も整理されています。 第1版が議論中の生の情報がそのまま公開されていたような体裁であったのに対して、第2版は報告書やガイドラインのようなキッチリした体裁に思えました。
第1版は公開資料として大変興味深かったのですが、第2版は文書として大変興味深いというのが正直な感想です。
「フォールバック問題対応について共有されるべき原則」で以下のように書いてあるのも大きな特長だと感じました。
IPv6サービス提供が、根本的に問題を解決できる策であるため、ISP各社、コンテンツサービス提供事業者(CSP)およびNTT東西はこの実現に向けて会社を越えて協力しながら取り組んでいく必要がある。
AAAAフィルタに関する説明が詳細に書かれているものの、それらがIPv6対応という根本的解決策が実施されるまでの暫定的な問題回避策であると説明されています。
資料では現在普及している端末に新仕様が搭載される可能性がほとんどないことからNTT IPv6閉域網におけるフォールバック問題の解決策ではないとされていますが、NTT NGN IPv6マルチプレフィックス問題という意味ではなく、IPv6そのものが抱えているIPv6マルチプレフィックス問題に関して言及していると思われる部分もあります。
JAIPA資料では多少ぼかした表現であるため直接的に明記されているという感じではありませんが、IPv6マルチプレフィックス環境を本当の意味で実現するには、RFC3484的なsource address selectionだけではなく、source address selectionとnext hop selectionとDNS selectionが必要だという話だと私は解釈しました。 ここら辺の話は、現在IETFで議論が行われている最中です。
まだ話題にのぼることは少ない印象があるのですが、NTT NGN IPv6マルチプレフィックス問題ではない、IPv6そのものとしてのIPv6マルチプレフィックス問題は、実はかなり面白いテーマだと最近考えています。
各ユーザが最新版のソフトウェアを利用することで、フォールバック問題を解消出来る場合があることも紹介されています。
Internet Explorer Version8や9ではフォールバック問題によって閲覧できなくなる問題が比較的発生しにくいことや、Firefox10以降とChrome Version 11.0.696.71以降ではフォールバック問題が軽減されるとあります。
Happy EyeballsがRFCになったことによって、それを採用するソフトウェアが増加し、ユーザが利用するソフトウェアがフォールバック問題の影響を受けにくくなる可能性があることも紹介されています。
NEC BIGLOBE川村さんによる発表資料には、コンテンツプロバイダへのメッセージも含まれています。 以下、発表資料の31ページに書かれている内容です。
【参考】コンテンツプロバイダの みなさまへ
- フォールバックが発生する可能性が高いユーザに対して、ゾーンレコードを保持するDNSで、Viewを分けることでAAAAを応答しない事ができます
- AAAAを回答するとフォールバックが発生する可能性の高いリゾルバ(DNSキャッシュサーバなど)のIPアドレスリストがあれば、コンテンツサイドでのAAAAフィルタを実現できます
-リスト(JAIPA外が提供)を紹介する事もできますので、ご興味があれば お問い合わせください
World IPv6 LaunchとNTT IPv6閉域網に関しては、NTT NGN IPv6マルチプレフィックス問題や、IPv6マルチプレフィックス問題そのものに関してなど、現在いくつかの記事を執筆中です。
近いうちに公開したいと思いつつ、追加調査項目が増えて行ってズルズルと時間が経過してしまっています。。。orz
ピラニアというのは基本的に大人しくて臆病な性格なので、通常はピラニアが生息している河で泳いだりしても大丈夫です。 しかし、いくつかの条件がそろうと集団で襲いかかります。 ピラニアの集団に襲われた相手が攻撃によってさらに出血することでより多くのピラニアが呼び寄せてられます。
ネット上の多くのユーザもピラニアのような傾向がある気がしています。 普段は、おとなしくしているのですが、何かのキッカケがあると一気に集団で襲いかかります。 中国では、オンラインとオフランを駆使しつつ、話題になった人物の素性を集合知的に探る行為を「人肉検索」と言いますが、ピラニアが人肉に喰い付いているようなアナロジーがピッタリ来るような気もします。
「出血している」対象を探して徘徊していて、ひとたび相手を見つけると「ここに出血している相手がいるぞー!」と仲間を呼び寄せる突然発生型の場合もある一方で、長い時間をかけて多くの人々に不快感を与えたり不満を蓄積させ、そこへ、何らかの失言などが発生し、大義名分を得たネットユーザが燃料を得て爆発するような勢いでピラニアのように襲いかかっていくという場合もあります。 ひとたび「これは叩ける!」と思った人々の行動という視点で各種騒動を見ると、怖いものがあります。
自分が出血していたり、自分がピラニアに狙われているわけでなければ、特に問題無くプールの中で泳ぎ続けられるわけですが、何らかのキッカケで負傷したらきっと集団で襲ってくるんだろうなぁと、思いつつも状況によっては自分もピラニア側だよなぁと思う今日この頃です。
私はノートPCを持ち歩いて時間があれば、外でキーボードをカチャカチャさせながら原稿を書いたりするのですが、この前、地方に行った時に少し怖いおもいをしました。 一度怖いおもいをしたことだけをもって一般化するのは多少乱暴ではあるのですが、「ノマドワーキング的な話って東京近郊だからできる話なんじゃね?」とそのときは思いました。
何が起きたかというと、予定よりも早く到着してしまったので駅の目の前にあるベンチに座りながらノートPCで原稿を書いていたら、いきなり怖いお兄さんに絡まれました。 「糞ガキぃー。パソコンやってんじゃねーぞー、コラぁー」という感じです。
駅前のベンチでパソコンを使っているだけでいきなり絡まれたのは初めてでした。 まわりにある程度人は居たのですが、相手が何をどのように腹を立てたのか皆目見当がつきませんでした。
ベンチでパソコンをする前は、喫茶店を発見して珈琲を注文してからパソコンを開いたのですが、「うちはパソコン禁止だよ」と店長にいきなり言われてしまいました。 私の他に客は一人で店内はガラガラだったのですが、喫茶店でパソコンを使うことそのものを「駄目」と言われたのは初めてでした。
そいった連続した「事件」があったので、「もしかして、地方ってパソコン使っている人は嫌われてる?」みたいな感想を持ちました。 たまたまかも知れないので、一般化していいのかどうか不明ですが。 まあ、確かに駅のベンチとか喫茶店とかでパソコンをする人は、東京近郊や大阪近郊と比べると少なそうです。
以後、地方では人前でパソコンをするのを躊躇するような気がする今日この頃です。 怖かったぁ。。。
以下、質問および頂いた回答です。
JAIPAは、基本的にISPの事業者団体です。 接続事業者の他に、ホスティング事業者やヤフーやDeNAなどのコンテンツ事業者も入っています。
ISP事業をやっていないNTT東西のようなキャリアは入っていませんが、169の正会員にNTTコミュニケーションズさんやKDDIさん、ソフトバンクさんなどのキャリアを含め、大手ISPも多く含まれています。
JAIPAは2008年から2009年にかけてISPを代表する立場でNTT東西と協議を行い、当時、案2や案4と言われた現在のフレッツ光のIPv6インターネット接続方式の策定に関わりました。
JAIPAが今年2月8日に行った説明会(2月24日公表)で出した第1版では案が沢山出ていますが、4月18日に記者向けに行った説明会では主要なもの数案に集約されました。
ここでの説明では詳細は公表していません。 一般に公開していませんが、INTERNET Watchや日経ITProで報道されていますので参照してください。
案の詳細は5月に発表する予定です。
(取材者注:今回の記者発表会の内容は4月8日時点で私が書いた記事の内容と同じようです)
ISPにより温度差があります。
IPv6に関して、非常に積極的な日本のISPとしては、NTTコミュニケーションズ、フリービット、KDDI、ソフトバンクBBとIIJがあげられます(取材者注:ただし、IIJはJAIPA会員ではありません、またソフトバンクテレコム、ソフトバンクモバイルはJAIPA会員ですが、ソフトバンクBBもJAIPA会員ではありません)。
設備投資やコストがかかるのに、値上げができず、売上も伸びないことからやりたくてもやれないところもあります。
大きなISPでは、ISPの中にも積極推進派と消極派がいるところもあるようです。
W6L参加ISPはユーザ普及率1%を超えていて、オプション購入なくIPv6対応できる事業者です。
フランスの大規模プロバイダFreeはすでに大半のユーザにIPv6展開を終えているようですが、6月6日以降はComcastやAT&Tなど米国の大手プロバイダも標準対応する予定で、すでに展開が始まっている状況です。
地域的に設備更新されたところから始めていたり、CPEの交換やアップデート、それに局側設備の入れ替えなどがあるので、全体としてはまだまだこれからのようですが徐々に普及してくるのではないかと思われます。
はい、そうです。
今回のNTT東西とJAIPAで合意した案はデュアルスタックユーザー用とIPv4だけのユーザー用にDNSを分けることが内容です。 ISPからすれば、IPv4だけのユーザーのDNSにはAAAAフィルタをすることでとりあえずはフォールバック問題が解決できます。
Googleからすれば、IPv4だけのユーザーのDNSは遅延や失敗が生じる率が高いと分かるので、そのDNSの利用者だけGoogle側からブラックリストにのせてAAAAレコードを出さないようにすると言っています。 ですから両方とも自分の都合よく利用できる2面性があります。
もっともISPがAAAAフィルタをしてしまえば、Google側では遅延や失敗が生じないため、統計的に把握できず、ブラックリストに載せることはできないと私は踏んでいます。
また、仮にISPがAAAAフィルタをしなくても、GoogleについてはそのDNSをブラックリストにのせてAAAAレコードを出さないようにすればフォールバック問題は生じなくなります。 しかしGoogle以外でそういう仕組みを持たないコンテンツには効きません。
当初は反対していましたが、ISPの中にはIPoE方式を提供しているところも多数あり、またVNE事業者であるJPNEさんやBBIXさんもJAIPA会員ですので、現在は両方式については中立の立場です。
JAIPA一貫して当初から案4の接続事業者の数を3社から増やすべき、という主張をしてきました。
端末側でDNSSEC検証している場合、存在するはずのレコードを削除してしまうと検証時に不正な応答とみなされてしまうため、ユーザ側からDNSSEC要求の付与されたDNS問い合わせがあった場合にはAAAAレコードを応答することになると思います。その場合はまたフォールバックが再発することになります。
はい、2007年の当時からJAIPAでは注意喚起してきました。
感覚としては10.0.0.0/8、172.16.0.0/12、192.168.0.0/16に続いて第4のプライベートIPv4アドレスが誕生したような感覚ではありますが、100.64.0.0/10はサービスプロバイダネットワーク内でのみ利用される点で異なります。
IPv4アドレス在庫枯渇に伴い、サービスプロバイダ内のネットワークでグローバルIPv4アドレスを使わないことで、IPv4アドレスを節約することが求められるようになりました。 しかし、既存のプライベートIPv4アドレスは各家庭内で利用されている場合があり、サービスプロバイダ内で同じものを利用してしまうと競合する可能性があります。
そのような競合を起こさずにサービスプロバイダ内ネットワークのグローバルIPv4アドレスを節約できるようにISP Shared Addressが数年前から提案されていました。 今回、数年前からの提案が実現した形です。
このアドレスブロックは、ARINから出されたもので、2012年3月時点で確保されており、whoisには「SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED」として登録されていました。
なお、「増刷が困難なため、初音ミク特集記事のみの別刷冊子の販売でご容赦下さい。」とのことで、その部分だけが700円で販売されています。
目次は以下のようになっているようです。
《特集》CGMの現在と未来: 初音ミク,ニコニコ動画,ピアプロの切り拓いた世界
0.編集にあたって(後藤真孝・奥乃 博)>
1.初音ミク,ニコニコ動画,ピアプロが切り拓いたCGM現象(後藤真孝)>
2.歌声合成の過去・現在・未来: 「使える」歌声合成のためには(剣持秀紀)>
3.初音ミク as an interface(伊藤博之)>
4.ニコニコ動画の創造性: 動画コミュニティサービス「ニコニコ動画」の5年間(戀塚昭彦)>
5.ニコニコ動画はいかなる点で特異なのか: 「擬似同期」「N次創作」「Fluxonomy(フラクソノミー)」(濱野智史)>
同記事では、複数のISPやリサーチパートナーとともにインターネットにおけるAmazonクラウドトラフィックを推測した結果が掲載されています。 それによると、Amazonクラウドによるトラフィックの規模感は以下のように表現できるそうです。
Craig Labovitz氏は、今年2月にNANOG54で「インターネットの30%はファイル共有とアダルトとP2P」や、2009年にNANOG47でGoogleなど非常に大きなトラフィクを生成する「Hyper Giants」の台頭など、インターネットトラフィックをもとに現在のインターネットを推測するという研究を続けている研究者です。
今後も、同氏の論文や記事が楽しみです。
IPv4アドレス売買に関連する税務処理や、SIerが、IPv4アドレス売却で発生したお金で受注するという話もありました。
第6回の「IPv4アドレス-移転か返却か?」とあわせて読んで頂けると、日本におけるIPv4アドレス在庫枯渇問題の現状が垣間見えると思います。
2週間ぐらい泊まり込みでネットワーク構築作業の手伝いをするというものです。 宿泊費用や食事はInterop事務局からの支給です(参加期間に応じて負担が変わるので詳細は募集ページをご覧下さい)。
InteropのSTMは、学生の頃に参加していましたが、あの時の経験や知り合えた方々とのその後の交流は今でも非常に重要であり、個人的には非常にお勧めです。 当時学生だった私にとってのInterop STMの魅力は、業界内でトップレベルの知識を持つ大人な方々に色々と聞けたり、見た事も触った事も無いハードウェアの存在を知る事ができたりしたことです。 アプリケーションを書いたりすることはありましたが、電源や光ファイバ敷設を含めたネットワークというものがどういうものかという概念に触れることができたのもInteropでした。
幕張メッセ内に2週間でゼロから即席ISPを作るようなものなので、「インターネット」というものがどういった要素から構成されているのかを知ることが出来る環境だったんだなぁと今となって思う事も多いです。 拙著「インターネットのカタチ - もろさが織り成す粘り強い世界」も、当時のInterop STM参加の影響があって書いているような気がします。
ということで、何とか時間を捻出可能な方は、Interop STMお勧めです。 まあ、その「まるごと2週間ぐらいの時間を作る」という部分が最大のハードルだったりするわけですが。
なお、4月1日時点で満18歳以上であることなど、いくつか応募条件があるのでご注意下さい。
私はSTMではなく、取材でInterop Tokyo 2012に行く予定です。 (またSTMで参加するのも楽しそうだけど。。。)
多くの方々にとっては「World IPv6 Launchが開催されて、それ以降はフレッツ光ユーザが困る」ぐらいのイメージだと思いますが、実はもう少し複雑です。 NTT IPv6閉域網フォールバック問題に対してどう対処するのかは、コンテンツ事業者、ISP、JAIPA、NTTによる一種の駆け引きとなりつつあります。
実は、この話題に関して結構多くの公開情報があるのですが、あまりそれらをまとめて語っている記事がなさそうなので書いてみました。
今年の6月6日に行われる予定のWorld IPv6 Launchを巡る駆け引きを知るには、昨年行われたWorld IPv6 Dayの評価を知る必要があります。
私がgihyo.jpで連載させて頂いている「IPv6対応の道しるべ」の第3回のインタビューでも紹介しましたが、World IPv6 Dayの評価は通信事業者とコンテンツ事業者で全く異なるものでした。 通信事業者は「おおむね問題がない」という印象でしたが、コンテンツ事業者は「問題がある」という認識でした。
なかでも、NTT IPv6閉域網フォールバック問題に関して強く問題意識を持ったコンテンツ事業者としてGoogleがあげられます。 去年、Googleは日本国内の様々な場でNTT IPv6閉域網フォールバック問題に関する発表を行いました。
たとえば、昨年11月に行われたJAPIAによるWorld IPv6 Day総括セミナーでGoogleのLorenzo Colitti氏がNTT IPv6閉域網フォールバック問題に関して発表しています(録画映像36:00頃)。
その中で、NTT IPv6閉域網フォールバック問題によってGoogleにどのような害があるかが語られています(52:17頃)。 NTT IPv6閉域網フォールバック問題によってIPv6対応したGoogleのWebサイト表示が遅くなり、それによってユーザが同Webサイトから離れてしまうと述べられています。 Webサイトの表示が遅いとユーザが離れるということの根拠として紹介されているのが2009年の研究結果である「Google Research Blog : Speed Matters」です。
ユーザにとっては、NTT IPv6閉域網フォールバック問題が発生するのはIPv6対応したサイトであり、World IPv6 Launchに参加していないサイトとしているサイトを比べると、「World IPv6 Launchに参加しているサイトが遅い」という風に見えてしまいます。 そうなると、日本のユーザの多くがGoogleから離れてしまうというのが、Google側の懸念です。
その一方、昨年のWorld IPv6 Dayに日本国内ISPで行われたAAAAフィルタのような障害回避策が、World IPv6 Launch以降定常的に続けられることは受け入れられないとも述べられています。 日本国内ISPがIPv6対応を行わず、IPv4だけで運用を続けることになりかねず、IPv6推進を行わないことも受け入れられないというニュアンスです。
World IPv6 Launchに参加するコンテンツ事業者としては、NTT IPv6閉域網フォールバック問題の影響を受けるのは避けたいです。 そのため、NTT IPv6閉域網ユーザには権威DNSサーバからAAAAレコードを返さないという、「コンテンツ事業者側でのAAAAフィルタ」が検討されています。
今年1月に行われたJANOG29での「World IPv6 Launch」セッション資料にも、以下のように書かれています。
このため一部のwebサイトでは日本向けにIPv6を無効にせざるを得ない可能性もある
- Google, Facebook, Yahoo! (intl.), おそらくAkamaiも
ひらたく言うと、「NTT IPv6閉域網フォールバック問題が解決もしくは改善されないのであれば、米国のコンテンツ事業者は日本(NTTユーザ)に対してAAAAフィルタを実施する」というものです。
ただし、注意が必要なのが、コンテンツ事業者側でのAAAAフィルタとISP側でのAAAAフィルタは技術的にも意味的にも全く異なる点です。
本稿で「コンテンツ事業者側AAAAフィルタ」と書いているものは、フィルタというよりもブラックリストです。 コンテンツ事業者が運用する権威DNSサーバが、問い合わせを行ってきているキャッシュDNSサーバのIPアドレス情報を見て、ブラックリストに掲載されているものに関してはIPv6を表すAAAAレコードを返さずにIPv4を表すAレコードのみを返すというものです。
一方、ISP側でのAAAAフィルタは、コンテンツ事業者の権威DNSサーバから返って来た結果からAAAAレコードを抜くというものであり、一種のブロッキングです。 コンテンツ事業者側は自分が何を答えるのかを自分で判断するという、割と普通な処理である一方、ISP側でのAAAAフィルタは情報の中継を行うキャッシュDNSサーバが内容を改変してユーザへと返しています。
世界中のコンテンツ事業者が各自でAAAAフィルタを設置するような状況が発生してしまうと、NTT IPv6閉域網フォールバック問題が解決してもコンテンツ事業者側でのAAAAフィルタが残るという状況が発生してしまいます。
世界中のコンテンツ事業者によるAAAAフィルタが乱立する状況は、解除を依頼するときの運用を考えると、スパムメール発信源と認定されてしまう状況に近いかも知れません。 世界中でスパマー認定されたうえでフィルタを設定されてしまうと、フィルタから抜いてもらうのが難しいです。 フィルタ設定箇所が世界中に分散しているので、そもそもどのサーバでフィルタが設定されているのか把握するのすら難しいです(スパムメールよりもBGPのbogonフィルタの方が解除の運用を考えると近いのかも知れませんが、まあ、とりあえず)。
そのようなコンテンツ事業者側でのAAAAフィルタを避けるために何が出来るかに関しての検討が行われていますが、どのような検討が行われているかを部外者が知る情報としては、今年2月24日時点でのJAIPAでの検討資料が非常に参考になります。 その中で、「Google等の米国コンテンツ事業者(CSP)」によるAAAAフィルタ検討に関してや、それを避けるためにISP側で実施可能な手法が紹介されています。
以下、JAIPA資料に記載されている各手法です。
ISPの全DNSキャッシュサーバにAAAAフィルタを設置する案です。
IPoE方式のユーザがIPv6通信を使えなくなります。PPPoE方式のユーザもOSの種類によってはIPv6通信が行えなくなります。
ISPでBフレッツとNGN(フレッツ光ネクスト)でDNSキャッシュサーバを分けて、Bフレッツ側はAAAAフィルタを行う案です。
ただし、NGNユーザはそのままなので、そんな中途半端な対応だったらGoogle側でAAAAフィルタをするとGoogleは主張しているとJAIPA資料に記載されています。
フレッツ光利用者情報を保持しているRadiusサーバと連携してIPv6サービスを申し込んでいないユーザに対してISPがAAAAフィルタを実施する案です。 最も良い方法であると思われるが、NTTとISPの双方で開発および設置が必要になり、費用もかかるし6月6日には恐らく間に合わないとJAIPA資料にあります。
IPoEを使っていて、かつ、NTT東西のホームゲートウェイを利用しているユーザのために、ホームゲートウェイがDNS Proxyとして動作するときのDNSサーバをVNEから提供されるIPv6トランスポートを利用するものに変える案です。
IPoE方式を利用するユーザがAAAAフィルタを回避できるようになるが、IPv4でのISP側DNSサーバを利用しなくなるので、そこで提供されている児童ポルノブロッキング機能などが使えなくなったり、AkamaiなどのCDNに影響を与える可能性があるとJAIPA資料には書いてあります。
ただし、VNEの3社のうちの2社は既に児童ポルノブロッキングに参加しているので、その2社であれば同ブロッキングは実施されるのだろうとは思います。 また、Akamaiに関していえば、VNE側にもCDNキャッシュが存在しているだろうと思うので、直接的にユーザに悪影響が出るような事例は少ないのかも知れません。
余談ですが、この案は、IPv6トランスポートによるDNS参照とIPv4トランスポートによるDNS参照でユーザが得られる通信結果が異なる可能性がある環境の例と言えそうです。 こういった事例を見ると、DNSトランスポートに関わらずIPv4とIPv6の両方の情報を参照できるようなDNSが果たして正しいのかどうかよくわからなくなります。
このように、NTT IPv6閉域網フォールバック問題は、6月6日以降にコンテンツ事業者側と通信事業者側のどちらがAAAAフィルタを行うかという駆け引きになりつつあるという側面があります。
なお、公開されているJAIPA資料は2月24日時点のものなので、その後の検討や状況変化によって内容が変わっている可能性があるのでご注意下さい。
また、どのような対策を行うのか、もしくはそもそも対策を行うのかどうかの判断はISPに依存するので、フレッツ網を利用するユーザ全体に対して同じ手法で障害回避が行われるわけではない点も注意が必要です。
注意が必要なのが、AAAAフィルタが「解決策」ではなく、ただしくIPv6対応が行える時間を稼ぐための手法でしかないという点です。
とりあえず「その場しのぎ」の手法でしかないことは、コンテンツ事業者も通信事業者も承知している話だとは思いますが、現時点で6月6日という一種の期限が出来上がってしまっているので、AAAAフィルタに関しての駆け引きが活発化しているものと思われます。
現時点におけるNTT IPv6閉域網フォールバック問題の正規の解決法は、IPv6 IPoEもしくはIPv6 PPPoEを利用してユーザ環境をIPv6インターネットへと接続できるようにすることです。 とはいえ、AAAAフィルタだけを設定しつつ、投資が必要なIPv6対応を避けたいという思惑があるISPも存在しているようです。
現時点では、6月6日のWorld IPv6 Launchが注目されています。 しかし、恐らく6月6日はNTT IPv6閉域網フォールバック問題にとっての単なるスタートだと予想しています。
たとえば、JAIPA中間発表で提案されている「案1-2)c」と「案3-1」は6月6日に間に合わないとあるので、やるとなったとしても6月6日以降になるものと予想されます。
さらに、3月22日、23日に行われたインターネットエコノミー日米政策協力対話(第3回局長級会合)の前後に、それまでNTT IPv6閉域網に関する問題を認識していなかった大手米国企業が同問題の調査を開始したりしているので、恐らくこれからさらに話題は増えるものと予想しています。
以下、私個人としての感想です。
NTT IPv6閉域網フォールバック問題の概要だけを聞くとNTT東西だけを悪者にして非難しがちですし、そういった非難をするのが非常に簡単です。 しかし、個人的な感想としてはNTT東西だけを叩くのは得策だとは思いません。
NTT東西がユーザセグメントに対してインターネットに接続されていないグローバルIPv6アドレス広告をしたことによって、ISPが提供しているインターネット接続サービスと競合したという話ではありますが、それが全ての問題の原因とまでは私は思ってません。 イントラネットのような環境を考えると、IPv6はインターネットに接続しないという選択をするネットワークが今後は登場する可能性があり、そのような環境において発生する問題を先取りしているだけではないかという感想もあります。 数年後に、この問題を振り返ってみると、実はIPv4とIPv6という異なるプロトコルを平行して運用するときの相性問題だったという評価がされる可能性もありそうです。
そもそもNTT法に記載されていない事業を開始するには総務省の許可が必要ですし、検討会等もあったものと思われます。 そして、数年前に検討が行われた時と数年前ではインターネットそのものを取り巻く状況や思想も違いました。
個人的には、過去の経緯に関して誰にどうやって取材すればわかるのかわからなかったり、どこを見れば何かがわかるのかに関しての資料をあまり発見できてないので、現時点では何らかの感想を持てるほどの情報を入手できておらず、様々な背景や経緯等が理解できていないという事情もあります。
また、現在様々な組織の人々がこの問題の落としどころを模索しているところであり、あまりに一方的な意見が大勢になってしまうと、まとまるものもまとまらなくなるんじゃないかという予想もあります。
風が吹けば桶屋が的な話になってしまいますが、NTTバッシングが過度に盛り上がった先にあるのがネット検閲バリバリの日本のインターネットになりそうな気がしてます。 個人的にはNTTがどうこうとか、駆け引きでどの組織の思惑が強く反映されるかは割とどうでもいいのですが、それによって今のバランスが大きく崩れることが違う変化の呼び水になっちゃうんじゃないかという点が気になります。
そもそも、NTT IPv6閉域網とISPによる通信(IPv4/IPv6含めて)の競合が発生するのは、NTT網が様々なISPに解放されているという背景があります。 独占的に強いキャリアが自社提供インターネット接続サービスのみを提供するような形態の方が、ビジネス的な視点で言えば自然ですが、日本ではそうなっていません。
恐らく結果論ではありますが、NTT法とドミナント規制は、日本国内に非常に多くのISPが存続できる状況を作りました。 プレイヤーがあまりに多いので、何かをするときに様々な議論が発生して、色々な話が進みにくくなっているのですが、ネット検閲やネット制限に関する話題も同様です。
私の知る限り、規制という視点で見た日本のインターネットは人々の表現に関して世界で最も寛容であるという感想を持っています。 そのような表現への寛容さというか、制御の出来てなさは、プレイヤーが非常に多い事とは無縁ではなさそうだと考えています。
で、今回のNTT IPv6閉域網問題が暴発して、まわりまわっていつの間にか多くのISPが潰れてプレイヤーが激減するような状況が発生すると、特定の組織があまり法的根拠が無い「要請」をちょっとしただけで自粛の嵐が巻き起こる環境が発生しかねないような気がしています。 何というか、妄想に近い予想ではありますが。
まあ、どちらにせよ、引き続き調査をしていきたいと考えている今日この頃です。
なお、NTT NGN IPv6マルチプレフィックス問題に関しては別途書く予定です。
発端は「首相官邸ホームページ、4500万円かけリニューアル - MSN産経ニュース」だと思いますが、それに対して非常に多くの怒りがネット上で表現されています。
一方で、以下のような反論もあります。
数としては怒りの表明が多数派であるように思える一方で、今回はネット上で上記記事と同じような考え方が結構あるようにも見えます。
私はGoogleで「site:kantei.go.jp」や「site:www.kantei.go.jp」というキーワードで検索してヒット件数が10万件を越えていたので、「凄いページ数だなぁ」と思いつつ、どこまでが4500万円の範囲内なのかわかりませんでした。 探せば入札のための公開資料があるのかもしれませんが、今のところ特に詳しく探したりはしていません。 リニューアルが適正な価格だったのかどうかや、実際のリニューアルの質等に関しては、これから色々と事実が判明したりして色々と情勢が変わったりする可能性もあると思われます。
で、ここで言いたいのは金額が適正かどうかとか、そもそもリニューアルは必要だったのかどうかという点ではなく、今回の報道は「金額を示しつつ詳細は伝えられていない報道は効果的に怒りを煽ることができる」という事例だという感想です。
ソーシャルメディアが普及した昨今では、どういった情報が広がりやすく、どういった情報が広がりにくいのかという視点で見ると色々と興味深いです。
今回の報道に限らず、金額を紹介している記事は色々あります。 良くあるのが何らかの事件などによって注目された組織に所属している人々の給料です。 それに対して「こんなひどいのに、そんなに給料をもらってるのか!」という怒りが多く発生しがちです。 研究開発に関する予算も同じような構造がありそうです。
昔は特に気にせず記事を読んだり、「○○の給料ってそんなに高いんだ。ひどいな」という感想を持ったりしていたのですが、最近は金額を前面に出している記事を見ると「この話題は結構拡散しそうだ」と思うようになりました。 特に強くそう思うようになったのは、2009年にレッシグ教授のエッセーを読んでからです(参考:「透明性」って本当に副作用が無いの?)。
情報発信のノウハウとして「人々を煽る」という手法も色々あるということを最近良く思いますし、ネット上で爆発的に広がりやすいデマを見ていても「効果的に煽る手法」が要素として含まれているデマは、いわゆる「拡散」が行われやすい傾向があるような気がします。
ということで、ネット上で人々を煽る効果的な手法を特化して研究すると色々新しい発見がありそうだと思いますし、そうった論文があったら読んでみたいです。 セキュリティを確保するためにはそれを破る手法をとことん研究するという手法があるのと同じような感じで、「どうやって煽ると効果的か」というのは今後凄く重要な課題になりそうだと考えています(そのノウハウの塊である場所が色々存在してそうな気はしますが)。
主に法人向けのサービスだとは思いますが、DDoS防御が実際にどうやって行われているのかを知りたかったのでいくつか質問をしてみました。 最終的に頂いた回答は「それがDDoS攻撃であるという "みなし定義" をどうするのかが秘伝のタレであって、それがポイント」という感じだったので、詳細な手法はわからなかったのですが、過去のInternet Infrastructure Reviewを見ると何となく傾向がわかるのかも知れません。
たとえば、Internet Infrastructure Review vol9に以下のような図があります。
Internet Infrastructure Review vol9に書かれている内容などを読んだうえで頂いた回答を見ながら推測すると、基本的に「何が異常であるか」を解析可能なように日々トラフィックログを取りつつそれをもとに異常と判断した通信を自動的に遮断するDDoSプロテクションサービスを提供するとともに、よりDDoSへの耐性を高めるために各種設定をサーバ側に対しても行うためのコンサルティング等も行うという2本建てのサービスっぽい気がします。
以下、頂いた質問と回答です。 どうもトラフィックパターンの解析を自動化できるようになっているところがポイントのようです。
もうちょっと突っ込んだ質問を出来るように、私もDDoS対策の勉強をしなくてはならないと思いつつ、ではありますが。。。
A: まず,攻撃トラフィックを断定的に識別するのは不可能です.例えば,悪意をもってウェブブラウザでF5を押し続けるのと,キーボードが壊れて,あるいはF5キーに物がのってしまうこととを識別するのは不可能(防御側として),ということです.
したがって,基本的な考え方としては,"攻撃トラフィックである確率が高い"事象(以下,アノマリといいます)をできる限り多く,確実に,そして効率的に拾うということになります.直感的にいえば,DDoS攻撃と"みなす"ための定義を決め,その定義に当てはまるか否かを判定していく,というのがDDoS攻撃の検知手法です.
この最たる手法が総通信量に対するアノマリの識別です.他の手法としては,明らかに異常である確率が高いトラフィック向け(例えばSYN Flood)に,特別な検知機能を持つ場合もあります. なお,弊社のサービスではいずれの検知機能も提供しています.
次に,防御についてですが,(先の説明からほぼ明らかですが)DDoS攻撃の検知と同様にDDoS攻撃を防御するための"攻撃トラフィックまたは攻撃者とみなす定義"が必要です. そのみなし定義とともに用いられる防御手法としては,古典的なファイヤーウォールのようなもの(src/dstのIPやport等に応じてacceptするか否かを決めるもの),送信元認証(詐称の確認),1送信元からの通信量制限,policingに相当するものなどがあります.
DDoS攻撃の検知/防御に共通していえることは,結局のところ"みなし定義"をいかに適切に与えるかであり,これが最も重要な要素になります.
ASごとに検知をしているわけではありません。
どこからのASから多く流入しているかは、分析の結果わかるという状況です。 source spoofされているかどうかは流れているものをみて判断できるのではなく、tcpや http などプロトコルベースのやり取りをして相手が正規に存在しているかどうかなど反応を見たうえで判断します。
ドラスティックな変化はないようです.
はい.世界でいえば,2010年に100Gを超える(確か中国で発生)攻撃が観測されましたし,IIJが検知しているものでも1G超の攻撃頻度が上がっています.
当初、NTT NGN IPv6マルチプレフィックス問題の解説から書き始めていたのですが、色々考えているうちにNTT NGN IPv6マルチプレフィックス問題とNTT IPv6閉域網フォールバック問題に関してゴチャゴチャな文章になってしまったので、切り分けるためにあえてIPv6閉域網フォールバック問題だけにフォーカスした文章にしました。
個人的な感想として、背景となる環境等を考えるとNTT NGNがIPv6を利用して実装されていることそのものに関して「設計が悪い」とは思ってません。 また、NTT IPv6閉域網に関連する各種問題はNTT NGNに限った話ではなく、NTT NGNではないBフレッツ等でも発生する問題であるため、IPv6閉域網フォールバック問題の話をしているときにNTT NGNがIPv6で構築されていることを批判する意見は多少ピントがボケてしまっている気がしています。
それらに関してはまたの機会に書きたいと思います。
NTT IPv6閉域網フォールバック問題を理解するには、その前提となるIPv6からIPv4へのフォールバックを理解する必要があります。 IPv6からIPv4へのフォールバックは、現時点におけるIPv4/IPv6デュアルスタック環境では一般的に発生し得る現象です。
IPv4とIPv6の間には互換性がありませんが、DNSを利用して名前解決を行う部分は共通です。 権威DNSサーバにIPv4とIPv6両方が登録されていれば、FQDNからIPv4アドレスとIPv6アドレスの両方が得られます。 DNSへの問い合わせそのものはIPv4とIPv6のどちらを利用する事も可能なので、IPv4しか利用できない環境でFQDNに対するIPv6アドレスを取得出来てしまいます。
現在、IPv6対応をした多くのアプリケーションは、以下の手順で通信を開始します。
IPv6での通信が成功すれば問題がないのですが、IPv6での接続が失敗した場合にIPv4を試みることから、この手順を経てIPv4での通信を行うことが「IPv6からIPv4へとフォールバックしている」と表現されることもあります。
IPv4へのフォールバックにおける問題点の一つに通信開始までの遅延があげられます。 IPv6を試みて失敗したのちにIPv4での通信を試みるため、はじめからIPv4だけで通信を開始する場合よりも通信開始が遅くなります。 IPv6での接続が失敗し、IPv4での接続が確立するまでに数十秒も遅くなる可能性すらあります。
さらに大きな問題は、IPv6での接続に失敗してしまうと通信そのものをあきらめてしまうアプリケーションも存在している点です。
できるだけ高速にサイトを表示することが非常に大事であるとされるWebコンテンツ事業者にとっては、IPv6からIPv4へのフォールバックによって表示速度が遅くなったり、そもそも表示されなくなるというのは避けたい事象とも言えます。
「NTT IPv6閉域網フォールバック問題」とは、Bフレッツ、フレッツ光ネクスト、NTT西日本の光プレミアムにおいてユーザセグメントにIPv6アドレスが配布されるものの、そのIPv6アドレスではIPv6インターネットと通信ができないというものです。
NTT IPv6閉域網で配布されるIPv6アドレスは、割り振りとしてはグローバルIPv6アドレスですが、そのIPv6アドレスはIPv6インターネットと接続されていないので、そのIPv6アドレスを利用してIPv6インターネットと通信することはできません。
そのため、同環境下でIPv6を使える設定のPCを使用している場合、インターネットと通信を行う際にIPv6からIPv4へのフォールバックが必ず発生してしまいます。 ISPでIPv6サービスを申し込んでいない場合、つまりユーザPCにおいてIPv6でのインターネット接続性がなくNTT IPv6閉域網によるIPv6アドレスが設定されている場合を図にすると以下のようになります。
NTT IPv6閉域網では、フォールバックにかかる時間を短縮するための対策として、NTT IPv6閉域網ではないIPv6アドレスへのTCP通信に対してTCP RSTパケットが送付されます。 それにより、ユーザが開始しようとしたIPv6でのTCP接続が早期に確立失敗し、IPv4へとフォールバックする速度が早められます。
ただし、この対策はあくまでTCPに対してのみであることや、IPv6でTCP RSTを受け取って「接続失敗」となった場合にIPv4でTCP接続を再度試みるかどうかはアプリケーションの実装依存となっているので注意が必要です。
NTT IPv6閉域網におけるフォールバック問題は昔から存在していました。
NTT東日本がBフレッツ回線にIPv6アドレスを割り当て始めたのは2007年2月です(参考1, 参考2)。 2007年時点でNTT東日本のWebサイトに以下のような注意事項が記載されています。
インターネット上には、IPv6とIPv4の両方で公開されているホームページが存在しており、このようなホームページへアクセスする場合には、初回表示に数十秒かかる場合がございます
...(中略)...
【対処方法2】
IPv6をはずすことで回避可能です。設定手順は、以下のとおりです。
BフレッツやNTT西日本のフレッツ・光プレミアムだけでなく、2008年に開始されたNTT NGNサービスであるフレッツ光ネクストでもNTT IPv6閉域網のIPv6アドレス割り当てが行われています。
最近になって、この問題が騒がれるようになったのは、IPv4アドレス在庫枯渇が現実のものとなり、IPv6に関する取り組みが増えたためです。 これまでは、NTT IPv6閉域網フォールバック問題が発生し得る環境であったとしても、インターネット上にあるサーバ側がIPv6対応をしていなかったので、ユーザ側がIPv6による接続を試みることがありませんでした。
具体的には、昨年のWorld IPv6 Dayにおいて多くのコンテンツ事業者(Webサイト)が期間限定でIPv6によるサービスを提供したことによって、NTT IPv6閉域網フォールバック問題が実際に発生したということがあげられます。 しかし、多くの権威DNSサーバにAAAAレコード(IPv6アドレスを示すレコード)が登録されたことで、ユーザ側がIPv6での接続を試みるような状況が発生すると同時に、AAAAレコードを登録したWebサーバ側でも通信確立までの遅延が観測されたため、NTT IPv6閉域網フォールバック問題が世界的に有名になりました。
世界中で多くのサーバによるIPv6対応が行われた(というよりも権威DNSサーバにAAAAが登録された)ことで、かなり前から存在していた問題が顕著に現れるというのは、NTT IPv6閉域網フォールバック問題に限らず、今後は色々とあるのかも知れないと予想しています。
NTT IPv6閉域網におけるフォールバック問題では、IPv6によるインターネットへのアクセスが必ず失敗します。
しかし、そもそもフォールバック問題は、NTT IPv6閉域網固有の問題ではなく、IPv4とIPv6のデュアルスタック環境においてどこでも発生し得る問題です。
極端な話、NTT IPv6閉域網におけるフォールバック問題は、「IPv6インターネットへの通信が必ず失敗する」のと「NTT IPv6閉域網側からTCP RSTが送信されて早期フォールバックが実現できる場合もある」という分だけ、これから増えるであろうフォールバック問題よりは、まだマシという解釈も可能です。
たとえば、6to4などの自動トンネル技術などが途中経路に介在してIPv6側が「繋がるけど品質が著しく低い」という状況の場合は、デフォルトでIPv6が選択されてしまうと通信品質が低くなってしまいます。
そのような状況を避けるために提案されているのが「Happy Eyeballs」という手法です(現段階ではRFCではなくInternet Draftです)。
Happy Eyeballsでは、IPv4とIPv6を同時に接続し、先に接続完了した通信を採用するという方法を提案しています。 従来はIPv6を試してみて駄目だったらIPv4を試すという手法が基本とされていたため、フォールバック問題が発生していましたが、Happy Eyeballsではそれが発生しません。
デュアルスタック環境において動作するときに、このような手法を採用するアプリケーションが増えればフォールバック問題による害は少なくなると同時に、NTT IPv6閉域網におけるフォールバック問題の発生も抑制されるものと思われます。
現時点では、NTT NGN環境(フレッツ光ネクスト)のNTT IPv6閉域網におけるフォールバック問題を解決する方法の基本は、IPv6 PPPoE(旧案2)もしくはIPv6 IPoE(旧案4)を利用してユーザがISPによるIPv6環境を家庭内に導入し、IPv6対応することであるとされています。 IPv6 PPPoEもしくはIPv6 IPoEを利用することによって、IPv6インターネットへと到達できるIPv6環境が整うため、NTT IPv6閉域網の影響で「IPv6による通信が必ず失敗する」という状況を回避できるようになります。 これらは、NTT NGN IPv6閉域網のIPv6アドレス配布を停止するのではなく、IPv6インターネットとの通信を可能にするという方法です。
このため、最近はNTT IPv6閉域網フォールバック問題とNTT NGN IPv6マルチプレフィックス問題がごちゃごちゃに語られることによって理解しにくくなっている場合があります。 NTT IPv6閉域網フォールバック問題とNTT NGN IPv6マルチプレフィックス問題は、関連はしていますが全くの別問題であるというのが私の認識です。
NTT NGNであるフレッツ光ネクストでしかIPv6 PPPoEもしくはIPv6 IPoEは利用できない点もわかりにくさを増大させる要因と言えます。 現時点では、BフレッツやNTT西日本の光プレミアムではNTT IPv6閉域網におけるフォールバック問題を継続的に解決する手法がありません(各ユーザがIPv6をOFFにするなどの方法はありますが)。 ユーザがBフレッツやNTT西日本の光プレミアムを契約している場合は、フレッツ光ネクストに乗り換えたうえでIPv6対応する必要があります。
最初はここら辺の話を中心に書き始めたのですが、あり得ないぐらい長くなってしまったので、今回の記事ではあえてout of scopeとしました。 NTT NGNにおけるIPv6マルチプレフィックス問題と、その解決手法等に関して別途記事を書く予定です。
ということで、そのうち続きを書く予定です。
APNICにおけるIPv4アドレス在庫枯渇によって「IPv4アドレス返却」の意味が変わってしまい、「IPv4アドレス埋蔵」のようになっているという背景に関する話です。
APNICにおけるIPv4アドレス在庫が枯渇したことによって、「最後の/8ブロックからの分配ポリシー」が発動してIPv4アドレスの分配ポリシーが変わり、各組織は合計で/22となるまでしか割り振りを受けられなくなりました。
それに伴ってIPv4アドレス返却の意味が変わってしまいました。 それまでは、IPv4アドレス返却はIPv4アドレス在庫の増加を意味しており、焼け石に水ながらもIPv4アドレス在庫枯渇の発生時期を後ろにずらす効果がありました。 しかし、分配ポリシーが変化したことで、IPv4アドレスを返却してもブラックホールに吸い込まれるだけで埋蔵させていくようになってしまいました。
返却されたIPv4アドレスの割り振りは、現時点では最後の/8ブロックを使い終わってからの割り振りになりそうですが、最後の/8ブロックからの割り振り速度を見ると、最後の/8ブロックがなくなるのは20年後ぐらいになりそうです。
そういった背景をもとにした「IPv4アドレス移転」と「IPv4アドレス返却」に関して色々と伺いました。
情報通信業界内での雰囲気の変化も話題として登場しています。 1年か2年ぐらい前は、金銭的な対価を伴う移転である通称「IPv4アドレス売買」に関して「IPv4アドレス売買なんてとんでもない」のような雰囲気が多くありましたが、実際にIPv4アドレス在庫が枯渇して「本当の枯渇」が現実のものとなりつつある現在は「IPv4移転を積極的にした方が良いのでは?」という雰囲気に変わりつつあります。
詳しくはgihyo.jpの記事をご覧下さい!
本来はデジタルな世界が当たり前な世界で育った子供という意味ですが、個人的には、どちらかというと本当にデジタル世代で生まれている人々よりも、今のネットで活発に活動している30代よりも若い人々全般な方々のネットの使い方の方が「デジタルネイティブ的」な気はしています。 まあ、でも、ネットを積極的に利用している人々を指した言葉として使われたりもするので、今回の文章内ではそういったニュアンスで使ってます。
で、そういったデジタルネイティブ的なトレンドって、10年、20年後はどのように捉えられてるのだろうと妄想すると、実はバブル世代と同じような扱いになっているのではないかと思うことがあります。 今、「バブル世代がっぁー」と言われているのと同じような感じで、20年後には「デジタルネイティブ世代がっぁー」とか言われてそうです。
たとえば、20年後に私が四捨五入して60歳な年齢になっているわけですが、そのときまで私が生きていたとして、若い人に「私が若かった頃は自分の位置情報を世界中に向けて発信したり、自分がその瞬間何をしているのかを"○○なう"と言うのが最新の流行だったんだよ」と言ったら、「やだ。何それ。怖ぁーーい」とか言われるんじゃないかと思うわけです。
「将来プライバシーは死ぬ」という主張も色々ありますが、個人的な感想としては、それは何の制限もなくいわゆる先進的なネットユーザが活動を続けたり、ネット企業がそれに乗っかる形で営利活動を各大していった場合に発生し得る話だと考えています。 最近のニュースを見ていると、世界各国が「どうやってネットを制限するか?」を模索しているように見えるので、国によってはこれから「ネット上での活動」が徐々に変わって行きそうだとも思えます。
法整備だけではなく事件等も影響しそうです。 「ネット上での書き込みでOKなギリギリのラインはどこか?」という何となくの暗黙の了解というか、空気感というか、相場みたいなものが数年おきに変わっていますが、そのキッカケは何らかの事件だったり、警察の動きだったりするような気がしています。 衝撃的なストーカー事件等が発生すれば個人を特定可能な情報を出す人は減るでしょうし、逮捕される基準が変われば他者に対する表現も変わることが予想されます(「爆破する」はアウトだから「爆発しろ」がネットmeme化した話もありましたね)。
そんなこんなで10年とか20年したら今とは全然違う「ネットの常識」というものが恐らく出来ていると思うと、「デジタルネイティブ」という単語も結構時間が経った後に「あー、デジタルネイティブ世代ね」とか、「何であの頃は"解放解放"言ってたんだろう」とかいう考え方になっててもおかしくはないなぁというわけです。
実際のところは、時間が経過してみないとわかりませんが、どうなるんだろうなぁと思う今日この頃です。
先月はじめに、Google Bloggerで行われるネット規制の予定に関する話を書いたのですが、そういえば、恐らくその背景であると思われるインドの裁判所命令に関して書いてなかったので追記です。
先月7日に、ロイターがインドにおいて21企業が「預言者モハメッド、キリスト、ヒンズー教の神々に対して宗教的に攻撃的であるコンテンツをブロックする仕組みを開発することを命令された」と報じています。
ロイター記事によると、裁判所命令の根拠となった法律は昨年成立したもので、クレームから36時間以内に企業がコンテンツを削除しなければなりません。 2012年1月時点では、「それは不可能である」と企業側は述べていたとあります。
恐らく、こういった背景がGoogle Bloggerの強制リダイレクトへと繋がっているものと思われます。 読者毎に国別のFQDNへと強制リダイレクトすることで、「その国では正しくブロックしている」という状況が作られます。 どこにいる人が書いたのかではなく、どこの人が読んでいるかでFQDN(URL)が変わります。 たとえば、アメリカで読んでれば「○○.blogspot.com」となり、日本から読んでいれば「○○.blogspot.jp」となり、インドから読んでいれば「○○.blogspot.in」となります。 ブロックされるのは、各国のFQDNであって全部ではありません。
ある国では違法とされる表現であっても、他の国では違法ではなく、文章を書いている人と読んでいる人が居る国が違うということからこういったややこしい話になっているのだろうと思います。
世界を相手にするグローバル企業のサービスは、今後こういった変更が各所であるのかも知れないと思う今日この頃です。
「浸透いうな!」という掛け声が一部界隈で有名な「DNS浸透問題(もしくは、DNS浸透いうな問題)」ですが、今年2月にDNS浸透問題の原因の一つとなっている現象と同じものに起因する新たな脆弱性が発表されました。 その名は「幽霊ドメイン名脆弱性(ghost domain names)」です。
一見、DNS浸透問題とは全く別の問題のように思える「幽霊ドメイン名脆弱性」ですが、それが発生する原因と状況をよく見ると、「あ!これってDNS浸透問題で言ってた話と同じ原因だよね!?」とわかります。 実際、後述する通り、幽霊ドメイン名脆弱性の発想をDNS浸透問題と組み合わせることで、他人のDNS引っ越しを妨害するDoS攻撃も可能になります。
そう考えると、問題発生原因を調べずに「DNSの浸透をお待ち下さい」で済ませてしまうのは脆弱性の放置であるという考え方もできそうです(*1)。
ここでは、幽霊ドメイン名脆弱性とDNS浸透問題のどこが同じでどこが違うのかを紹介します。 幽霊ドメイン名脆弱性そのものの詳細な解説は行いませんが、同脆弱性の発生メカニズムを理解することはDNSそのものの動作や仕組みを理解するために非常に有用なので、興味がある方はJPRSによる解説をご覧になることを強くお勧めいたします。
DNS浸透問題(*2)と幽霊ドメイン名問題は技術的な要素や挙動などは基本的に同一ですが、大きく違うのがシチュエーションです。
幽霊ドメイン名脆弱性は、フィッシングサイト、ボットネット制御、ウィルス/マルウェア伝播など、不正な目的で運営されているドメイン名を強制的に使用不能(差し押さえ)にした際に、それから逃れることが可能であるというものです。
こうしたドメイン名の差し押さえでは、親ゾーンから委任(NSレコード)を削除、あるいは強制的に変更するという方法がとられる場合があります。 たとえば、warumono-example.comという悪徳サイトがあった場合、.comを管理しているレジストリがwarumono-example.comのNSレコードを.comゾーンから削除することでアクセスを不可能にしたり、別のNSレコードを設定することで任意のユーザがwarumono-example.com閲覧時に別サーバへと転送します(転送の例としては、たとえばFBIが運営し警告を表示するサイト)。
.comゾーンからの削除ではなく別のNSレコードが設定された例として、先日閉鎖されたmegaupload.comの事例があげられます。 2012年3月現在、megaupload.comに関してWHOISで出力される権威DNSサーバ一覧と、実際に.comゾーンに設定されている権威DNSサーバの一覧が異なっています。 WHOISではMegaupload LimitedによるNSが記載されていますが、実際に.comゾーンでNSとして指定されているcirfu.netの登録者はFederal Bureau of Investigation(FBI)です。
whois情報
Registrant:
Megaupload Limited
P.O. Box 28410
Gloucester Road Post Office
Wan Chai, Hong Kong 00000
HK
Registrar: DOTREGISTRAR
Domain Name: MEGAUPLOAD.COM
Created on: 21-MAR-05
Expires on: 21-MAR-14
Last Updated on: 28-NOV-11
Administrative, Technical Contact:
Lam, Bonnie domain@megaupload.com
Megaupload Limited
P.O. Box 28410
Gloucester Road Post Office
Wan Chai, Hong Kong 00000
HK
+852-3013-7707
Domain servers in listed order:
NS1.MEGAUPLOAD.COM
NS2.MEGAUPLOAD.COM
NS3.MEGAUPLOAD.COM
NS4.MEGAUPLOAD.COM
dig情報
$ dig megaupload.com. ns
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21092
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; QUESTION SECTION:
;megaupload.com. IN NS
;; ANSWER SECTION:
megaupload.com. 26611 IN NS ns6.cirfu.net.
megaupload.com. 26611 IN NS ns5.cirfu.net.
;; ADDITIONAL SECTION:
ns5.cirfu.net. 963 IN A 107.21.224.156
ns6.cirfu.net. 963 IN A 107.21.226.254
しかし、NSレコードというのは親ゾーンだけではなく、子ゾーン側にも存在しています。 しかも、DNSにおいて親と子のNSレコードは意味するものが異なっています。
親のNSレコードは「そのゾーンはこのサーバに委任しています」ということを意味しており、子のNSレコードは「私はこのゾーンの管理権限を持っています」ということを意味しています。
そして、DNSプロトコルでは、NSレコードは子ゾーンで設定されるものが権威を持ち、親ゾーンで設定されるNSレコードよりも高い信頼度(trustworthiness)で取り扱うように規定されています(RFC2181参照)。
しかし、子のNSレコードが有効なのは「親の(子のNSレコードよりも信頼度の低い)NSレコードで委任されている間」のみです。 キャッシュDNSサーバにおいてこの部分の取り扱いが不適切であった場合、つまり、親のNSレコードが削除あるいは変更された後も、(既に子ではなくなった)子から送られてくるNSレコードの内容を信じ続けてしまう状況が発生した場合、親のNSレコードを削除あるいは変更することで使用不能にしたはずのドメイン名が使用可能にさせられ続けてしまう可能性があります。
このように、幽霊のように存在しなくなったはずのドメイン名が有効であり続けるのが「幽霊ドメイン名脆弱性」です。
幽霊ドメイン名脆弱性そのものの解説は、JPRSに記載されている解説をご覧頂くのが良いと思います。
特に重要なのが「概要」に含まれる以下の部分です。
そのため、各キャッシュDNSサーバー側で親ゾーンの委任情報の状態を必要に応じてチェックし、もし親ゾーンが委任情報を削除した場合、当該ゾーンの委任先からの情報を受け取らないように、適切に実装する必要があります。
しかし、現在のDNSプロトコルでは親ゾーンの委任情報の削除の検出や、その後の処理における具体的な手法が明確に規定/定義されておらず、実装依存の事項となっています。
今回の脆弱性はこうした背景から、キャッシュDNSサーバーの実装/動作に起因する新しい攻撃手法が発見されたことにより、顕在化したものです。
RFC2181において、同じ信頼度を持つNSレコードに関するキャッシュ更新をどうすべきかが明確に規定されておらず、現時点では実装依存であるという点も非常に大きなポイントです。 JPRS解説文には以下のようにあります。
このような、既にキャッシュされているexample.jpのNSレコードと同じ信頼度を持つNSレコードをキャッシュDNSサーバーが受け取った場合、それを新しいものに置き換える(上書きする)かどうかは現在のDNSプロトコルでは明確に規定されておらず、実装依存の事項となっています。
恐らく、私の文章を読んだだけではわかりにくいと思うので、是非JPRS解説文をご覧下さい。
世界で最も利用されているDNSサーバソフトは、ISCのBINDであるとされていますが、同ソフトウェアは幽霊ドメイン名脆弱性論文で脆弱性を抱えているとされた実装の一つです。 幽霊ドメイン名脆弱性が発表された後に、ISCが「DNSはセキュリティの拠り所にするものではない」とするコメントを出しました。
非常に大ざっぱに表現すると、「そういった脆弱性は確かに発生する。ただし、それはDNSプロトコルそのものに起因する問題であり、すぐには修正できない。緊急パッチを出す予定も現時点ではない。そもそも通常のDNSはセキュリティの拠り所として使えるように設計されていない。DNSSECを使え。」という感じの内容でした。
しかし、その後リリースされたBIND 9.9.0(修正が入ったのはrc3。2月29日に正式版がリリース)には幽霊ドメイン名脆弱性を回避するためのコードが含まれており、またリリースに向けて作業中のBIND 9.8/9.7/9.6のrc版にも、同じコードが含まれているようです(DNSOPS.jpメーリングリストより)。
また、公式な発言ではありませんが、JPRSからISCに対し、この問題の解決を促すためのプッシュも行われていたようです。 ( https://twitter.com/OrangeMorishita/status/179116153799577600 )
ISC BINDのCHANGESには、以下のようにあります。 幽霊ドメイン名脆弱性の修正であることは特に明言されているわけではなく、「バグを修正した」という扱いのようです。 「脆弱性である」と大きく取り扱ったテーマが、その修正であると公式には明言されずにバグとして修正されている点を不審に思うという感想もあります(「浸透いうな!」のtss_ontapさん曰く「カミンスキー問題も同様」だそうです)。
3282. [bug] Restrict the TTL of NS RRset to no more than that
of the old NS RRset when replacing it.
[RT #27792] [RT #27884]
修正方法として採用されたのは、キャッシュDNSサーバにおいてNSレコードのキャッシュを更新するときに、TTLについては既にキャッシュされているNSレコードのTTL以上の値にしないという手法です。 この変更によって、親ゾーン及び子ゾーンのNSレコードのTTLが減算途中で大きな値に上書きされることがなくなるので、幽霊ドメイン名脆弱性は発生しなくなるものと思われます。 ただし、この変更によって、正常時であっても以前よりも委譲元(親ゾーンの権威DNSサーバ)への問い合わせ数が増える可能性があります。
「DNS浸透問題」の原因の一つとして、親のNSレコードが変更された後も旧権威DNSサーバー(かつての子)から送られてくるNSレコードの内容を信じ続けてしまうために、「DNSが浸透しない」と表現される状態が発生する、という現象が報告されています。
本来は参照されなくなるはずの旧権威DNSサーバを参照してしまっているという状況は、幽霊ドメイン名脆弱性と同じです。
仕組みだけを見ると同じですが、状況が大きく違います。
まず大きく違うのは、DNS浸透問題ではドメイン名を登録している人が自分の意志で権威DNSサーバの移管(もしくは移転)を行っているという点です。 幽霊ドメイン名脆弱性の場合は、何らかの原因によりドメイン名が強制的に差し止めされるような状況を想定しています(政府当局による強制的な差し止め以外に、更新料不払いという原因もあり得ます)。 幽霊ドメイン名脆弱性におけるドメイン名登録者は、かつては正規のドメイン名登録者でしたが、何らかの理由によってそのドメイン名を使用する権利を既に失っています。
さらに違うのは不適切なNSレコードを参照させたいかどうかの意図です。 幽霊ドメイン名脆弱性の場合は、フィッシングサイト等を運営している主体が意図的に旧権威DNSサーバが参照され続けるように仕向けることを想定していますが、DNS浸透問題はドメイン名登録者が「早く切り替われ」と望んでいます。
そして、「早く切り替わらない」という顧客からのクレーム対応として便利な言葉であることから「DNS浸透をお待ち下さい」が重宝されているようです。
「つまり、言い訳?」とJPRSプレゼン資料(DNS浸透の都市伝説を斬る - ランチのおともにDNS (PDF)、6ページ)にも記述されています。
確かに「便利な言葉」なのだろうと思います。 で、この「便利な言葉」を不適切な引っ越し方法をしていることの言い訳に使わないようにというニュアンスを含むのが「浸透いうな」です。
幽霊ドメイン名脆弱性の話を聞いてから、JPRS資料の18ページ以降で解説している「浸透問題が起こりうる引っ越し方法」を見ると、DNS浸透問題と幽霊ドメイン名脆弱性が同じ構造であることがおわかり頂けると思います。
「幽霊ドメイン名脆弱性」そのものは、現在正規に使用中のドメイン名が乗っ取られたりするようなものではなく、差し止めになったドメイン名を使い続けさせることが可能であるという部分の紹介が多いため、多少地味な脆弱性にも思えます。
しかし、実際には差し止めになったドメイン名だけではなく、更新されずにexpireしたドメイン名や、ドメイン名の譲渡や売買(金銭的な報酬を伴う譲渡)が行われた後も以前のドメイン名登録者が利用している権威DNSサーバが参照され続けるように仕向けることも可能です。 脆弱性を発現させる方法が「該当する環境において名前解決をさせ続けさせるだけ」であるため、キャッシュDNSサーバがNATやファイアウォールの内側にあり、インターネットに直接接続されていない場合であっても実現可能という「手軽さ」も特徴としてあげられます。
また、幽霊ドメイン名脆弱性の発想を悪用して、他人のDNS引っ越しを妨害(DoS攻撃する)ことも容易に可能です。 たとえば、Twitterにおいて「DNSが浸透しない」と言っている人を発見したうえで、その原因が旧権威DNSサーバからの古いゾーン情報の垂れ流しであった場合を考えます。 攻撃者は、多くの人々がそのドメイン名での名前解決をするようにそのドメイン名を含むURLを大手掲示板などに貼付けたり、そのドメイン名を含むURLをimgタグに書き込んだうえでWebページを作成して多くの人々に閲覧させるなど、多くの人々が名前解決を行うように仕向けます。 それにより、そのドメイン名に対する旧NSレコードのキャッシュが切れる前に更新されるので、「全然DNSが浸透しない」という状況を人為的に継続させるというDoSも可能になると考えられます。
現在、多くのDNS実装(djbdnsは除外)では、幽霊問題以前に、古いNSによる更新問題も解決済みです。 そのため、現時点において「DNS浸透遅い」という発言はTTLを理解していないか、間違った手順でのDNS引っ越し作業と古いキャッシュDNSサーバの組み合わせによって生じているものと思われます。
DNS浸透問題の議論において「TTLを無視するキャッシュDNSサーバがある」という話が度々登場しますが、どのバージョンのどのキャッシュDNSサーバがTTLを無視する実装になっているのかという具体的な話を見たことがありません。 また、tss_ontapさんによる報告(ISPのDNSキャッシュサーバはTTLを越えてキャッシュを保持するか?)でも、TTLを無視するキャッシュDNSサーバの存在は確認されていません。 基本的に「そういうのがある」という表現ばかりです。
幽霊ドメイン名脆弱性の論文にある手法は、古いNSによる更新問題を解決したはずの実装(*3)の穴を攻撃するものであるといえそうです。 JPRSのランチセッションによると、そもそも古いNSによる更新問題を抱えたままの古いBINDがBIND 9全体の33%とあります。 幽霊ドメイン名脆弱性を回避することを含めて、古いBINDをご利用の皆様は更新することをお勧め致します。
幽霊ドメイン名脆弱性はDNS浸透問題と非常に密接に関わっています(そもそも「DNS浸透問題」とは何かという点に関しては曖昧さが残りますが)。
今回の「幽霊ドメイン名脆弱性」という脆弱性が発表されたことから、DNSの引っ越しを行った後に古い権威DNSサーバからゾーン情報が発信され続けているという運用ミスに対して「幽霊ドメイン名が発生しています」というクレームを入れやすくなるのかも知れないと今回思いました(*4)。
(*1) とはいえ「幽霊ドメイン名脆弱性」は、「ドメイン名の差し止め」という行為の一般化と無関係ではないので、それが脆弱性であるとして認められるという時代背景もあります。
(*2) 「DNS浸透問題」の原因と推測されている現象は単一ではなく、幽霊ドメイン名脆弱性と同根なのは、そのうちの旧権威DNSサーバからの情報を信用し続けてしまう場合に発生する状況です。 ここでは、その状況にフォーカスしています。 新たに登録されたドメイン名が設定完了後も反映されていないように見えてしまうという現象なども「DNS浸透問題」に含まれていますが、それは「幽霊ドメイン名脆弱性」とは違う仕組みです。
(*3) BIND 9.2.3で修正。BIND 9.2.2以前のバージョンで問題が発生。BIND 9全体の約33%が旧バージョンを利用していると推測されているようです。JPRSランチ発表資料 p.24-p.30参照。
(*4) 実際は差し止めになったドメイン名というわけではないので厳密に言うと間違った表現ではありますが。 あと、基本的なしくみが同じであることから、「浸透問題」を抱えているキャッシュDNSサーバーの実装では「幽霊ドメイン名脆弱性」も抱えている可能性が非常に高いです(詳細は省略しますが、「幽霊ドメイン名脆弱性」を抱えていても「浸透問題」を抱えているわけではありません)。
今回の記事で最も頑張ったのは図です(頑張ったからといって奇麗な図が出来たわけではないところが悲しいところですが)。 全て、イラストレーターでゼロから作りました。 特に苦労したのが、「DNSの浸透をお待ち下さい」と発言しているコールセンターのお姉さんです。 そもそもイラストレータの使い方もよくわかってないので結構苦労しました。
参考にしたのは以下の2冊です。 お姉さんの絵を書く方法は「Illustratorでもっと楽しくイラスト」の62-87ページです。
文章も、いつもようにやたらと長いものを最初は書いていたのですが、この話題に関しては私がグダグダ書くよりも「JPRS: 「ghost domain names(幽霊ドメイン名)」脆弱性について」へのリンクを張る方が正確でわかりやすいことに途中から気がついて路線変更しました(と言いつつ、最終的に長い文章になってますがorz)。
で、「幽霊ドメイン名脆弱性」という凄くわかりにくい問題をどうやったら、わかった気になっていただいたうえでさらに調べる気持ちになれる文章を書けるかを悩んだところ、「イラストだ!」と思ったのでIllustratorを勉強しつつ描いてみました。
図が欲しいと思った時に誰かに頼むということができないわけで、こういう技術をコツコツと学習して積み上げるしかないわけなんですよね。
JPRSの方々が執筆されている「実践DNS - DNSSEC時代のDNSの設定と運用 -」は良い本だと思うので、DNS関連の話題に興味がある方々にお勧めです。
年末年始にSOPA関連の話題が英語圏のネット上を駆け巡り、それに関して色々と調べていて思ったのですが、ソーシャルメディアの世界では「黒に近いグレー」が「白」へと変わる過程といものがあるサービスもあり、あるものは「白いサービス」の栄誉を勝ち取りつつ、あるものは「真っ黒」であると認定されて摘発されるという構図がありそうな気がしました(ソーシャルメディア全般においてそうだと考えているわけではありません。念のため)。
SOPA/PIPAは今年に入って事実上の廃案へと追い込まれましたが、SOPA/PIPAに関しては@ITで書いた記事をご覧下さい。
今日は、SOPA/PIPA廃案の直後に行われたMegaUpload摘発に関連しての感想色々です。
インターネットを利用した、いわゆる「ニューメディア」的なコンテンツ事業者は、自分自身でコンテンツを作らずに「コンテンツを共有する場」を運用することによって巨大メディアへと成長したという側面があようにも思えます。 そして、そういった「場」において共有されるのは、ユーザが自分で作成したコンテンツだけではなく、著作権侵害コンテンツも含まれています。
しかし、現状では、アメリカ国内にあるソーシャルメディアなどのサービスを提供しているIT企業は、DMCA(Digital Millennium Copyright Act)の「Title II: Online Copyright Infringement Liability Limitation Act」の「safe harbor」によって守られています。 インターネットを利用したコンテンツ事業者は、著作権侵害の申し立てに対して適切に対応していれば責任を果たしていることになります。
例えばDMCAでは、「悪いユーザー」がいても、権利者から申し立てがあったときにはじめてその「悪いユーザー」の悪行を停止できれば責任を問われないことになります。 ソーシャルメディアに代表されるCGM(Consumer Generated Contents)との相性がよい法律でした。
成立前に非常に多くの批判があったDMCAですが、そのDMCAがあったからこそ、アメリカではCGMが急激に成長したという考え方もできるのが多少皮肉な感じもします(当時の論争があったからこそ、そういった条項が織り込まれたのでしょうが)。
そもそも、そう考えると、Googleによって買収される前のYouTubeも最初は著作権侵害コンテンツだらけのサイトというイメージがあります(当時の雰囲気に興味がある方は2005年頃に書かれた各種ネット媒体やブログ記事を検索してみて下さい)。
Googleに買収されることによって、黒に近いグレーだったサイトが徐々に白っぽく見えるようになり、Viacomとの訴訟などを経て現在は完全な「白」へと変貌しているように思えます。
今のYouTubeを「アングラサイト」というような感じで見ているユーザは非常に少ないと思います。 大手メディアや各種団体が公式アカウントを持ち、世界のインターネットトラフィックの1割強を越えるコンテンツを流通させる巨大プラットフォームへと成長しました。
このような黒いグレーから白への変貌というのは、ネット企業に限りませんが、多くのネット関連事業は現時点で「白への模索」をしているという側面もありそうな気はしています。
で、やっとMegaUploadの話になるのですが、この前、某ネット関係者の方々や某知財関係者の方々と集まって雑談をしているときに、MegaUploadや各種アップローダの話になりました。 非常に多くのユーザがダウンロード用アカウントを取得するためにお金を払って会員になっていたという事実が中々衝撃だったようです。
その延長線上で、「何でレコード会社とかは上手くユーザが好むようなネットサービスを 出来ないのか?」という話題が登場しました。
それに関して考えたのですが、その場での意見の一つとしては、単にMegaUploadが価格破壊だったから非常に多くの有料会員を集めたというものがありました。 音楽や映像の権利者が各自でダウンロード販売などを行う場合の価格とアップローダサイトが提供するような月額基本料金のようなサービスを比べた場合、後者の方が恐ろしく低い価格でサービスを提供可能です。
これは、アップローダサイトがコンテンツを自ら作成しているわけではなく、サーバの運用コストだけあれば運営可能であるからこそ実現できていたのだろうと思いますが、お金を払うユーザ側からすれば、より安く多くのコンテンツを入手出来る方を選ぶことが「合理的な選択」となります。
一方、これまで多くの権利者団体や家電メーカーがダウンロード販売を実現しようとして様々なサービスを発表していますが、多くが失敗しています(成功していると思えるのはiTunes Storeぐらい?)。 ほとんどのサービスがユーザにとって価格その他の要素を含めて魅力がないものと映るためだと思われます。
で、さらに話が進み、「MegaUploadもアーティストに利益を十分還元できるような仕組みになればよかったのに」という意見が出ました。
実際は、昨年末ぐらいにMegaBoxというアーティストへの利益還元プログラムが発表されていました。 MegaBoxは、アーティストに利益の90%を還元するという内容でした。
FBIによる起訴が発生しておらず、そのままMegaUploadによる営業が継続していたならば、もしかしたら、このサービスは大成功していたかも知れません。
ユーザが無償ダウンロードしたとしてもアーティストにお金が入るので、アーティストは積極的に楽曲を無償公開するという仕組みが出来上がっていた可能性もあります。 まあ、それを支えるのがダウンロード速度を上昇させるために「会員」になっているユーザなのでしょうが。
で、もしMegaUploadによるアーティストへの還元プログラムが成功していたとすると、MegaUploadは徐々に著作権侵害コンテンツに対して厳しくなり、アーティストを優遇するようになっていたものと思われます。
そして、時間をかけて著作権侵害コンテンツを追放していき、正規コンテンツの一大流通場へと発展していた可能性もあります。
FBIに起訴されている内容を見ると、マネーロンダリングを含めてMegaUploadは色々と活動が真っ黒なのですが、もし万が一、あのまま営業を続けられていたら黒が徐々にグレーへと変わり、そしていつの間にか白へと変わっていた可能性もあるのではないかと妄想してしまいます。
ネットサービスは最初にユーザを集める部分が非常に大変なわけですが、何らかの手法でそこをクリアした後にサービス内容やユーザ層を変貌させつつ「白いサービスを目指す」というのが実現できていた場合に、MegaUploadが世界全体にどのような変化を与えていたのかに関しての思考実験を行うのも面白そうです。
そう考えると、ネット上のニューメディア全般が同様の構造を抱えているような気もします。
当初は黒っぽいグレーな方法でサービスを行いつつも、長期間運用が継続される過程で徐々に白っぽいグレーを目指し、途中で訴えられたり逮捕されたりして「真っ黒」へと転落せずに「白」への道を突き進んだものだけが最終的に生き残るという生態系なのかも知れません。
今は「白っぽいグレー」だとしても、実はいきなり「真っ黒」へと転落してしまうネットメディアやネットサービスもありそうです。 最近は、徐々にそのような傾向が進みつつあるように思えるので、今年は「黒認定」されるサービスが増えて行きそうな空気も感じます。
最近のネット関連の話題は検閲や規制や制限や逮捕の話が非常に多い気がします。
10年前は、「これだけ拡大している」とか「ここがもっと便利に」とか「ここもこれを採用」というような話題が中心だった気がするのですが、普及期を過ぎたのか、最近は「どうやって制限するか」な議論が多めな気がしてなりません。 私がそういったネタに注目しがちだというバイアスはあるのかも知れませんが。。。
それだけユーザ層が世界中で増えていて、ネットでの活動が現実世界に大きな影響を与えつつあるということのあらわれなのかもしれません。
本件とは直接関係ありませんが、MegaUploadは、世界のインターネットトラフィックの数パーセントを専有するぐらいの規模だったようです。 同時に、同様のアップローダサイトが運用されている物理的な位置は集中しているというような調査結果も公表されています。
MegaUpload閉鎖後に、FBIによる摘発を恐れて世界中のBitTorrentサイトが閉鎖されたり、アップローダサービスやアップローダでのアフィリエイトが停止されるなど、MegaUpload事件は大きな変化のキッカケになったように思えます。
今回受賞したブログ一覧です。
本ブログは2009年に一度ノミネートされたことはありましたが、それ以外ではノミネートされることもなく、私自身は同賞を受賞することは最後まで無いと思っていました。 私のサイトは内容がニッチですし、本ブログを開始したのが2006年で、それ以降のアルファブロガーアワード選考基準を見ると私のブログは対象外となるような感じでした。
で、9日の発表前日に「受賞したのでもしよろしければご来場下さい」というような連絡を頂いてびっくりしたわけです。
ここら辺の「びっくり」という雰囲気はモダシンさんのブログでもわかります。 ポッドキャストで「勝てないよ」「プロじゃん」というのが連発されているのは、恐らく受賞を「ノミネート」と解釈しているためです。
顔が見えてない状態での文章で表現すると色々誤解されそうですし、全体的な「ネット上での雰囲気」に関するコンテキストを共有してないと何を書いてるんだか意味不明でしょうが、実は今回の受賞の感想は複雑です。
アワード受賞発表がAMN5周年記念イベントの一部であり、かつ私を含めてAMNパートナーブログがいっぱい受賞しているという状況はいかにも炎上しそうな要素満載なのですが、炎上すらしないというのが同アワードの現状を如実に表していると思います(この文だけ抜き出してTumblrとかTwitterで流す人が多そうなんで、こう書くと色々誤解されそうな気はしますが)。
もし「アルファブロガー」という存在に多くの興味が集まっており、誰が「アルファブロガー」として表彰されるのかに関する関心が集まっていれば、あーだこーだで論争が勃発することが予想されます。 しかし、もう「アルファブロガー」という単語そのものが、みんなにとってどうでもいいんだというのが良くわかります。 そんなものだろうと私も思います。
もう一点、「数年前と変わったなぁ」と思うのが、実況Tweet等をしそうなネットヲチャ的人種が会場で少なかったのではないかという点です。 受賞の挨拶で各ブロガーが冗談を混ぜても、反応が薄く、「何を言っているのだろう?」という雰囲気が多少あり、「あー、これはイベント来場者と受賞ブロガーがコンテキストを共有できてないな」と思えました。 状況が変わってるということでしょうね。
とはいえ、賞を頂いた事は嬉しく思っています。 正直に言うと賞を頂けて嬉しいんですよ。 でも、何というか、非常に複雑な気持ちなんですよ。
「ありがとうございます!読者の皆様、今後とも宜しくお願い致します!」ぐらいで受賞コメントを留めておくのが私の立場上は正しいような気もするんですが、複雑な気持ちを文章で書きたくなるという気持ちを抑えられないというか何というか。 そういのが私の駄目なところですね。
いや、でも嬉しいですし、賞を頂けてありがたく思っていますよ。 こういう賞って運営が大変だろうなぁと思う今日この頃です。
Webどっぷりで本や雑誌をあまり読まない人が、ウェブサーフィングというかネトヲチをする気分で本や雑誌を読むと逆に感動できる部分もあるのではないかと思うことがあります。 NNTPのネットニュースやネトゲやIRCを経て、今ではひたすらWebですが、もう何年もネトヲチどっぷりの生活を楽しみながら満喫しつつ、たまに本を読むと「やっぱり良い本に含まれる情報はいいよなぁ」といつも感じます。
Web上の情報を楽しんでいて思うのですが、Webに出て来るもののほとんどは「表層的なもの」です。 海外の情報(特に英語。人口が少ない言語は情報も少ない印象)を見たい場合であればWebを見る方が深い情報も得られることも多いのでしょうが、日本語での情報に関してだけ言えば、表層的な情報の割合が急激に上昇している気がします。 昔、「Web検索では届かない世界」という文章を書いたのですが、今でも私の基本的な考え方は変わっていません。
多くの人々がセンサーとして動作して「何かを掘り出す」という面白みがネットにはありますが、何かの情報を深く調べたうえで体系的にまとめあげたというコンテンツはネット上で多くはない印象があります。
なぜWebが表層的なものばかりになるかというと、それが現時点でのマネタイズ可能なオンラインコンテンツ制作手法としての最適解だからだというのが私の感想です。
Web上での情報発信をしていると良くわかるのですが、長い文章は好まれません。 たとえば、ブログ記事一つで1万5千字ぐらいの文章を書いて公開すると「長い」と文句を言われたりしますし、読む気が失せることも多いようです。
Web上で好まれる記事というのは、短く、刹那的でかつ何らかの方向性に心を揺さぶるようなものです。 生き残るのに最適な手法が生き残り、そうでないものが消えて行くのが世の中だと思うと、現時点の日本におけるWeb界隈で盛況な場所が何故盛況なのかがよくわかります。
これは、無料であることが前提で次から次へと短期間内に色々なコンテンツを見て回れるからそうなっているという側面がありそうです。
逆に、本や雑誌であれば、有料であることが前提の場合が多いので、中身がスカスカだと文句を言われますし、誰も買わないので生き残れません。
「これは良い本だ」と言われるような本は、それなりに時間をかけて文章を推敲したものが多いというか、私が思う「良い本」はかなり労力をかけていると感じるものが多いです。 とはいえ、「良い本」というのは、恐らく少数派です。 本や雑誌の大半が各個人にとっては「ゴミ」という認識か、「興味が無い」という認識だろうとは思います。 本の出来というのは、どれだけ筆者が苦労をしたかではなく、どのような作品であるかの結果のみが大きな意味を持ちます。
本の中身が「カス」だと多くの人々が評価していても売れている本があるのも事実です。 それはそれで、宣伝手法が上手だったり、流通のさせかたが上手で生き残っているのかも知れないとは思います。
何はともあれ、Webと紙媒体(現時点の。電子書籍が普及すれば、それは有償コンテンツという意味では同じ分類だろうと思います)では「生き残るもの」の傾向は違います。
ここでやっと、本文章のタイトルと繋がるのですが、本や雑誌をあまり読まないWebべったりの人が本や雑誌を読むと何故良いかというと、純粋に刺激が違うからです。
「どのようなコンテンツが生き残るのか?」の生態系が違うので、違った方向性を追究したコンテンツがあります。 人間、いつもと違って慣れてないものに遭遇した時の方が「感動」は発生しやすいと思うので、本をあまり読んだことがなくて小さい頃からずっとWebべったりだった人ほど良い書籍に出会えると感動できる気がしています。
「そんなの雑誌に普通にのってるよね?何が楽しいの?」みたいなニュアンスの突っ込みが登場するというのは、そういうことなのだろうと思います。
Web上に掲載されるコンテンツの多くが表層的な雰囲気を感じる要因の一つとして、現在のWebはオーディションの場のような役割もあり、Web上で名前を売った人が本を書くという流れが定着しつつあるので、ネット上に無償で掲載される文章の多くが「かけだし」の人によるものだったりするという側面もあるのだろうとは思います。
なお、この文章は「Webが駄目だ」とか「Webには深い情報が全く無い」と言っているわけではないのでご注意下さい。 それぞれ媒体や流通手法によって生態系が異なっており、Webという情報の流通手法にはそれにとって最適な情報の割合が高くなっているというだけの話です。
Illustratorではじめてのイラスト
Illustratorでもっと楽しくイラスト