悪用に関する質問

それこそが、私たちが出口ポリシーを実施した理由です。

各 Tor リレーは、そのリレーからどのようなアウトバウンド接続を許可するか拒否するかを指定する出口ポリシーを持っています。 出口ポリシーはディレクトリー経由で Tor クライアントに伝えられるので、クライアントは意図した目的の宛先への接続を拒否するような出口リレーを選ぶことを自動的に避けることができます。 これにより、各リレーは、不正使用の可能性と自身の状況に基づいて、接続を許可するサービス、ホスト、およびネットワークを決定できます。 デフォルトの出口ポリシーをご利用の場合は、発生する可能性のある問題についてのサポートエントリー、および Mike Perry の悪用を最小限に抑えて出口ノードを実行するためのヒントをお読みください。

デフォルトの出口ポリシーでは、多くの一般的なサービス(ウェブブラウジングなど)へのアクセスが許可されますが、悪用の可能性(メールなど)や、Tor ネットワークが負荷を処理できない(デフォルトのファイル共有ポートなど)ために制限されるものがあります。 torrc ファイルを編集することで、出口ポリシーを変更できます。 悪用される可能性を完全にとは言わないまでも、ほとんど避けたい場合、「reject *:* 」に設定してください。 この設定は、リレーが Tor ネットワーク内のトラフィックの中継に使用され、外部のウェブサイトやその他のサービスへの接続には使用されないことを意味します。

出口接続を許可する場合は、名前解決が機能している(つまり、コンピューターがインターネットアドレスを正しく解決できる)ことをご確認ください。 コンピューターが接続できないリソース(例えば、制限の厳しいファイアウォールまたはコンテンツフィルタの背後にいる場合)がある場合は、出口ポリシーで明示的に拒否してください。そうでないと、Tor ユーザーにも影響が及びます。

Tor の使命は、フリー・オープンソースの技術を使って人権を向上させ、ユーザーが大量監視やインターネット検閲から身を守る力を与えることです。 私たちは、悪意のある目的で Tor を使用する人々がいることを憂慮し、私たちの技術が犯罪行為に悪用されていることを非難します。

犯罪の意図は個人にあり、彼らが使用するツールではないことを理解することが不可欠です。 他の広く利用可能な技術と同様に、Torも犯罪的意図を持つ個人によって利用される可能性があります。 そして、彼らが利用できる他の選択肢があるため、Tor を世界から奪っても犯罪行為を止めることはできそうにありません。 同時に、Tor やその他のプライバシー対策は、個人情報の盗難やストーカー行為などの物理的犯罪に対抗し、法執行機関が犯罪を捜査し、被害者を支援するために利用することができます。

分散型サービス妨害 (DDoS) 攻撃は通常、数千台のコンピューターのグループが、被害者に大量のトラフィックを送信することに依存します。 被害者の帯域幅を圧倒することが目的なので、ハンドシェイクや調整を必要としないUDPパケットを送信するのが一般的です。

ただし、Tor は正しく形成されたTCPストリームのみを転送し、すべてのIPパケットを転送するわけではないため、Tor 経由でUDPパケットを送信することはできません。 (SYN Floodのような特殊な形式の攻撃もできません。) そのため、通常のDDoS攻撃は Tor 上では不可能です。Tor はまた、外部サイトに対する帯域幅増幅攻撃も許可しません: Tor ネットワークが宛先に送信するバイトごとに1バイトを送信する必要があります。 そのため、一般的には、十分な帯域幅を制御して効果的な DDoS 攻撃を実行できる攻撃者は、Tor を使用しなくても問題なく実行できます。

まず、デフォルトの Tor 出口ポリシーは、すべての発信ポート25 (SMTP) トラフィックを拒否します。 そのため、Tor を使ったスパムメールの送信はデフォルトでは機能しません。 一部の中継オペレーターは、特定の出口ノードでポート25を有効にすることができます。この場合、コンピューターは送信メールを許可します。しかし、その個人は Tor から独立して、オープンメールリレーを設定することもできます。 要するに、ほぼすべての Tor リレーがメールの配信を拒否するので、Tor はスパム行為には役に立ちません。

もちろん、メールの配信だけがすべてではありません。 スパマーは Tor を使って、オープンな HTTP プロキシに接続したり(そこから SMTP サーバーに接続したり)、ひどく書かれたメール送信 CGI スクリプトに接続したり、ボットネットを制御したりすることができます。

これは残念なことですが、スパム業者はすでにTorなしでうまくやっています。 また、Tor は正しい形式のTCP接続しか転送しませんので、より巧妙な通信メカニズム (なりすまされたUDPパケットなど)の多くは Tor 上で使用できないことを覚えておいてください。

Tor は出口ポリシーを実装しました。 各 Tor リレーは、そのリレーからどのようなアウトバウンド接続を許可するか拒否するかを指定する出口ポリシーを持っています。 これにより、各リレーは、不正使用の可能性と自身の状況に基づいて、接続を許可するサービス、ホスト、およびネットワークを決定できます。 また、悪意のあるリレーの動作を調査し、ネットワークから排除するための専用チーム「Network Health」もあります。

ネットワーク内の悪意のあるリレーのような、ある種の悪用に対処することはできますが、ユーザーがネットワーク上で何をしているかを確認したり管理したりすることはできません。これは仕様です。 この設計は、人権活動家、ジャーナリスト、家庭内暴力の被害者、内部告発者、法執行官、その他多くの人々に可能な限りのプライバシーと匿名性を提供することで、圧倒的に有益な利用を可能にしています。 ユーザーと Tor の有益な使用例をご覧ください。

出口接続を許可する Tor リレー (デフォルトの出口ポリシーなど) を実行している場合は、おそらく最終的に誰かから連絡があると言っても過言ではありません。 悪用の苦情にはさまざまな形があります。例:

  • 誰かが Hotmail に接続し、身代金要求文を企業に送ります。FBI から丁寧なメールが送られてきて、Tor リレーを実行していることを説明すると、彼らは 「まあいいや」 と放置します。[ポート80]
  • 誰かが Tor を使って Google グループに接続し、Usenet にスパムを投稿してあなたをバンさせようとし、ISP にあなたがいかに世界を破壊しているかについての怒りのメールを送る。[ポート80]
  • 誰かがIRCネットワークに接続して迷惑行為をしています。ISPに、コンピューターがどのように侵害されたかについての丁寧なメールが届くか、またはコンピューターがDDoS攻撃を受けます。[ポート6667]
  • 誰かが Tor を使って Vin Diesel の映画をダウンロードすると、ISP に DMCA の削除通知が届きます。EFF の Tor DMCA 対応テンプレートをご覧ください。これは、ISP が責任を負わずに通知を無視できる理由を説明しています。[任意のポート]

一部のホスティングプロバイダーは、Tor の出口リレーに関して他よりも親切です。リストにつきましては、良い/悪い ISP の Wiki をご覧ください。

さまざまな悪用苦情の種類に対する回答のテンプレートの完全なセットにつきましては、テンプレートのコレクションご覧ください。 また、ハラスメントを最小限に抑えて出口ノードを実行するためのヒントおよび縮小された出口ポリシーを実行するを参照して、悪用の数を積極的に減らすこともできます。

また、Tor リレーの IP が一部のインターネットサイト/サービスへのアクセスをブロックしている場合もあります。 これは、出口ポリシーに関係なく発生する可能性があります。一部のグループは、Tor に出口ポリシーがあることを知らないか、気にしていないようです。 (他のアクティビティに使用されていない予備の IP がある場合は、その IP で Tor リレーを実行することを検討してください。) 一般的に、Tor リレーを提供するために自宅のインターネット接続を使わないことをお勧めします。

ISPにうまく返答するためのテンプレートのコレクションはこちら です。

IRC チャンネルを荒らすために Tor を利用する、悪意のある人物が時々います。 このような悪用は、ネットワーク運営者が荒らしをネットワークから締め出そうとするため、IPごとに一時的なアクセス禁止(IRC用語で「klines」)となります。

この対応は、IRCのセキュリティモデルの根本的な欠陥を浮き彫りにしています。 彼らはIPアドレスが人間と同等であると仮定し、IPアドレスを禁止することで人間を禁止することができます。 現実にはそうではありません。このような荒らしの多くは、インターネット上の文字通り何百万台ものオープンなプロキシや侵害されたコンピューターを日常的に利用しています。 IRCネットワークは、これらすべてのノードをブロックしようと負け戦を繰り広げており、ブロックリストやカウンタートロールの家内工業全体が、この欠陥のあるセキュリティモデル(ウイルス対策業界とは似て非なるもの)に基づいて立ち上がりつつあります。 Tor ネットワークは、ここではバケツの一滴に過ぎません。

一方、IRCサーバーの運営者から見れば、セキュリティはYesかNoではありません。 荒らしやその他のソーシャル攻撃に迅速に対応することで、攻撃シナリオを攻撃者にとって魅力的でなくすることが可能になる場合があります。 そして、ほとんどの個々のIPアドレスは、任意の時点で任意のIRCネットワーク上の個々の人と同じです。 例外には、特殊なケースとしてアクセスが割り当てられるNATゲートウェイが含まれます。 オープンプロキシの使用を止めようとするのは負け戦ですが、1人の素行の悪いIRCユーザが飽きて去ってしまうまで、そのユーザを待ち続けるのは一概に負け戦とは言えません。

しかし、本当の答えは、アプリケーションレベルの認証システムを実装し、良いユーザーを入れ、悪意のあるユーザーを排除することです。 これは、パケットの転送方法の特性ではなく、人間の何らかの特性(例えば、彼らが知っているパスワードなど)に基づく必要があります。

もちろん、すべての IRC ネットワークが Tor ノードを禁止しようとしているわけではありません。 結局のところ、かなりの数の人々が、現実世界のアイデンティティに縛られることなく合法的な通信を行うために、Tor を使ってプライバシーに配慮した IRC を行っています。 各 IRC ネットワークは、悪人が使用できる数百万の IP のうち数個をブロックすることが、品行方正な Tor ユーザーからの投稿を失う価値があるかどうかを、自ら判断する必要があります。

ブロックされている場合は、ネットワーク運営者と話し合い、問題を説明してください。 彼らは Tor の存在を全く認識していないかもしれないし、自分たちがkliningしているホスト名が Tor 出口ノードであることを認識していないかもしれません。 もしあなたがこの問題を説明し、Tor をブロックすべきだと結論づけられたら、言論の自由により寛容なネットワークへの移行を検討したほうがいいかもしれません。 irc.outtc.net の #tor に招待すれば、私たちが悪人ばかりではないことを示すのに役立つかもしれません。

最後に、Tor をブロックしていると思われる IRC ネットワークや Tor の出口ノードを見つけたら、他の人が共有できるように、その情報を Tor IRCブロックトラッカーに載せてください。 少なくとも1つの IRC ネットワークは、そのページを参照して、誤ってブロックされた出口ノードのブロックを解除します。

Tor はスパムには役に立たないにもかかわらず、一部の熱狂的なブロックリストは、Tor のようなオープンなネットワークはすべて悪だと考えているようです。彼らはポリシー、サービス、ルーティングの問題でネットワーク管理者を強く攻撃し、被害者から身代金を引き出そうとします。

サーバー管理者がこれらのブロックリストを使用して受信メールを拒否する場合は、サーバー管理者と話し合い、Tor と Tor の出口ポリシーについて説明することをお勧めします。

それを聞いて残念に思います。 インターネットサービスにおいて、匿名ユーザーをブロックすることが理にかなっている状況もあります。 しかし、多くの場合、ユーザーが安全にウェブサイトにアクセスできるようにしながら、問題を解決できるより簡単なソリューションがあります。

まず、正当なユーザーと悪意のあるユーザーを区別するために、アプリケーションレベルで判断する方法があるかどうか考えてみましょう。 例えば、サイトの特定のエリアや、投稿などの特定の権限を登録した人だけが利用できるようにすることができます。 サービスへの接続を許可する Tor IPアドレスの最新リストを簡単に作成できるので、この区別を Tor ユーザーに対してのみ設定できます。 これにより、多層アクセスが可能になり、サービスのあらゆる側面を禁止する必要がなくなります。

例えば、Freenode の IRC ネットワークでは、チャンネルに参加して会話を巧妙に乗っ取る集団が問題となっていました。しかし、Tor ノードからのすべてのユーザーに 「匿名ユーザー」 というラベルを付け、悪用者が溶け込む機能を排除すると、悪用者はオープンなプロキシやボットネットを使用するようになりました。

第二に、何十万人もの人々が毎日 Tor を使用していることを考えてみてください。例えば、通常の活動を行いながらデータ収集を行う広告会社からデータを守るためです。 また、制限の多いローカルのファイアウォールを突破する唯一の方法として Tor を使う方もいます。 Tor のユーザーの中には、今まさにあなたのサービスに合法的に接続して通常の活動を続けている人もいるかもしれません。 あなたは、Tor ネットワークを禁止することが、これらのユーザーや将来の潜在的な正規ユーザーの貢献を失う価値があるかどうかを判断する必要があります。 (多くの場合、人々は自分のサービスにどれだけの礼儀正しい Tor ユーザーが接続しているのかよく把握していません。礼儀正しくないユーザーが接続するまで気づかないのです。)

この時点で、いくつかのIPアドレスの背後に多数のユーザーを集約する他のサービスについてどうするかについても考える必要があります。 Tor はこの点でAOLとあまり変わらりません。

最後に、Tor リレーには個別の出口ポリシーがあることを覚えておいてください。 多くの Tor リレーは、接続の終了を全く許可しません。 一部の出口接続を許可しているサービスの多くは、既にサービスへの接続を許可していない可能性があります。 ノードを禁止する場合、出口ポリシーを解析し、これらの接続を許可するものだけをブロックする必要があります。また、出口ポリシーは(ネットワーク内のノード全体のリストと同様に)変更される可能性があることを念頭に置く必要があります。

もし本当にそうしたい場合、私たちはTor 出口リレーリスト問い合わせ可能なDNSベースのリストを提供しています。

(システム管理者の中には、公式のポリシーや何らかの悪用パターンによってIPアドレスの範囲をブロックしている方もいますが、Tor を使ったアクセスのみを許可したいので、Tor の出口リレーを許可することについて質問しに来られた方もいます。 これらのスクリプトは allowlisting にも使用できます。)

Tor 開発者が Tor ユーザーを追跡するためにできることは何もありません。 悪人が Tor の匿名性を破らないようにするのと同じ保護が、私たちが何が起こっているのかを把握するのを妨げています。

ファンの中には、Tor を再設計してバックドアを含めることを提案する人もいます。 この考えに関する問題が2つあります。 第一に、技術的にシステムを弱体化しすぎています。 ユーザーとその活動を結びつける一元的な方法を持つことは、あらゆる種類の攻撃者にとって隙だらけの穴で、この責任の正しい処理を保証するために必要なポリシーの仕組みは膨大で未解決です。 第二に、犯罪者はこれで捕まりません。彼らは匿名性を確保するために、ありとあらゆる手段を使うことができるからです(ID窃盗、コンピューターを乗っ取り中継地点として使うなど)。

これは、最終的には、どこからでも発生する可能性のある侵害やセキュリティ問題から自分自身を保護することがサイト所有者の責任であることを意味します。 これは、インターネットの恩恵に登録することの一部に過ぎません。 悪い要素がどこから来たとしても、その要素から身を守る準備をする必要があります。 追跡や監視の強化は悪用の解決策にはなりません。

しかし、これは Tor が無敵だという意味ではないことを覚えておいてください。 手段、動機、機会の調査、容疑者への事情聴取、文体分析、コンテンツそのものの技術的分析、おとり捜査、キーボード盗聴、その他の物理的な捜査など、従来の警察のテクニックは今でも Tor に対して非常に有効です。 Tor Project はまた、法執行団体を含むすべての人々と協力し、Tor ソフトウェアの使い方を訓練し、オンラインで安全に捜査や匿名化された活動を行うことも喜んで行います。

Tor Project は.onion アドレスの所有者や場所をホスト、管理、発見する能力を持っていません。 .onion アドレスは、 Onion Service からのアドレスです。 .onion で終わる名前は、Onion Service 記述子です。 これは自動的に生成された名前で、インターネット上の任意の Tor リレーまたはクライアントに配置できます。 Onion Service は、ユーザーとサービスプロバイダーの両方を匿名化によって保護するように設計されています。 Onion Service の設計は、.onion Siteの所有者と場所が私たちにさえ隠されていることを意味します。

しかし、これは Onion Service が無敵だという意味ではないことにご注意ください。 容疑者への事情聴取、文体分析、コンテンツそのものの技術的分析、おとり捜査、キーボード盗聴、その他の物理的な捜査など、伝統的な警察のテクニックは依然として彼らに対し非常に効果的です。

児童虐待資料について苦情がある場合は、児童ポルノ調査のための調整窓口である全米行方不明・被搾取児童センター (http://www.missingkids.com/) に報告することをお勧めします。 ご報告いただいたリンクは閲覧いたしません。

私たちは悪用を深刻に受け止めています。 活動家や法執行機関は、虐待を調査し、被害者を支援するために Tor を利用しています。 Tor がどのように仕事に役立つかを理解してもらうために、私たちは彼らと協力しています。 場合によっては、技術的なミスが発生しており、その修正を支援しています。 被害者のコミュニティには、思いやりではなく汚名を受け取る人もいるため、被害者仲間からの支援を求めるには、プライバシーを保護する技術が必要となります。

Tor にバックドアや検閲を組み込むことを拒否しているのは、犯罪者を懸念していないからではありません。 私たちは、Tor を弱体化させることは、児童虐待や人身売買と闘う努力に悪影響を及ぼす一方で、オンラインでの被害者のための安全な場所を奪うことになるため、拒否します。 一方、犯罪者は、ボットネット、盗まれた携帯電話、ハッキングされたホスティングアカウント、郵便システム、宅配業者、腐敗した役人、そしてコンテンツを取引するために出現するあらゆる技術にアクセスすることができます。 彼らはテクノロジーをいち早く取り入れます。 このような状況を前にして、政策立案者がブロッキングやフィルタリングで十分だと考えるのは危険です。 私たちは、政治家が児童虐待を隠すことで有権者の点数稼ぎに貢献するよりも、児童虐待を食い止め、防止する取り組みを支援することに関心があります。 汚職の役割は特に厄介です。人身取引における腐敗の役割に関するこちらの国連報告書をご覧ください。

最後に、子どもたちの名のもとで政策を制定する際には、子どもたちが大人になって遭遇する世界を考慮することが重要です。 もし彼らが大人になって安全に意見を言えなくなったら、彼らは私たちに感謝するのでしょうか? もし彼らが、他の子供たちを守るための国家の怠慢を暴こうとしているとしたら?