荒し対策課 - Proxy Serverとは？
　　http://homepage2.nifty.com/intel-404/internet/proxy/tor.html
　　| これほど匿名性があるので攻撃しても公的機関などは追跡できないのではと思われる方もいるかもしれない。 確かに匿名性が高く追跡も難しいP2P通信システムだが最近アメリカ当局はP2Pでの児童ポルノをネット上で公開している犯罪者でも 追跡を可能にしたと報じた。
　　| 私もニュースで実際に捜査方法などの一部を目にしましたがIPアドレスはもとより発信元の住所も把握しているといいます。 又、違反者の中に日本人も含まれ近くアメリカ当局は国際刑事機構を通し検挙を一斉に行うと報じていました。

このサイト、Torの使い方を説明していて、その部分は良いサイトなのだが、最後のこの記述はいただけない。たぶんBitTorrentか何かと勘違いしてるのではないかと思う。

　　　*　　　*　　　*

　　匿名化ツール『Tor』の落とし穴――大使館等の通信傍受に成功 « WIRED.jp Archives
　　http://wired.jp/wv/2007/09/13/%E5%8C%BF%E5%90%8D%E5%8C%96%E3%83%84%E3%83%BC%E3%83%AB%E3%80%8Etor%E3%80%8F%E3%81%AE%E8%90%BD%E3%81%A8%E3%81%97%E7%A9%B4%E2%80%95%E2%80%95%E5%A4%A7%E4%BD%BF%E9%A4%A8%E7%AD%89%E3%81%AE%E9%80%9A/
　　| ある研究者が、Torを利用していた日本やロシア大使館、インド国防省機関などのアカウント100件のユーザー名とパスワードを自身のサイトに掲載した。Torの出口ノードをホストすることで、多岐にわたる通信内容を傍受できたという。

これはTorは発信元のIPアドレスを隠しているのであって、書き込み内容を隠しているわけではないこと。Torというのはプロキシと同じ側面があるから、プロキシ経由の書き込み内容がプロキシの運営者にわかるのと同様、Tor経由の書き込みもTorの出口ノードにはわかる。

たとえばTorでどこかのWebメールのサーバにログインした場合、その通信がhttpsでないなら、ログインのアカウントやパスワードがTorの出口ノードにわかってしまう。そういう使い方をしてはいけない。

Torは発信元のIPアドレスを隠すのであって、発信内容は隠せない。パスワードなどを含むものはTor経由で送信してはいけない。https接続であればTor経由でも内容は第三者(Torの出口ノードなど)にばれない。最近はhttps接続のサーバが増えてきたから、良い傾向ではある。

　　　*　　　*　　　*

　　| TorはPrivoxyやProxomitronなどローカルプロキシと併用しないと危険

これはTorを解説している古いサイトによくある記述で、過去には正しかったが、現在は正しくない。Torの問題というよりも古いブラウザの問題で、古いブラウザ(firefox 1.xとか)ではSocksプロキシ経由でもDNSの名前解決はTorを経由せず直接そのPCが常用しているDNSサーバに問い合わせることがあった。

それを回避するためにPrivoxyなどhttpプロキシが必要だったのだが、現在のブラウザではこの問題は解消され、Socksプロキシ使用時は名前解決もSocks経由で行われるようになっている。したがってprivoxyなども必要なくなった。Torの配布ファイルでも現在はprivoxyなどは含まれていない。

　　　*　　　*　　　*

Torの匿名性を破る方法はすでに考案されている？これは2つのソースがごっちゃになっていると思われる。一つは以前GNUnetの記事でも紹介したトラフィック解析という手法。

　　p2pの匿名性は死んだのか？

ノードに負荷をかけることで、ノードの応答性から経路を推測する。これは論理的には不可能ではないというレベルの話で、おそらく実用にはならないと思われる。

　　　*　　　*　　　*

もう一つはFlashやJavaと組み合わせる方法。

　　Peeling the Onion: Unmasking TOR Users
　　http://www.fortconsult.net/images/pdf/tpr_100506.pdf

　　Practical Onion Hacking: Finding the real address of Tor clients
　　http://www.fortconsult.net/images/pdf/Practical_Onion_Hacking.pdf

などで紹介されている。JavaやFlashを使うとプロキシを迂回して直接接続するコードが書けるので、そのPCのIPアドレスが取得できる。これがTorのブラウザバンドル版でJavaやFlashが無効にされている理由。

上記の文書で説明されているように、ブラウザが動作しているPCがTorのプロキシ以外の外部に直接接続ができないようにファイアウォールなどでガードすればこの問題は回避できる。

ただそうなるとTor専用のPCにするか、Torを使うときと通常のネットを使う時でファイアウォールの設定を変えなければならず、いささか面倒。そうまでしてJavaやFlashを使う必要がなければ、この2つを無効にすれば安全。

また上記の方法ではJavaScriptも使用するが、JavaScript単独ではIPアドレスを取得できないので、JavaScriptは使用を許可しても危険はない。

なお自分のPCのIPアドレスを隠す目的ではなく、単にグレートファイアウォールなどを突破することが目的の場合は、そのまま使えばいい。

　　　*　　　*　　　*

一風変わった手法として、ユーザーがTorの使用をやめて、直接接続に戻すまで待つようなJavaScriptを書くという手法がある。Torそのものの脆弱性ではなく、ユーザーの使用方法に着目するわけだ。その対策としてTorボタンはJavaScriptを無効にするようになっている(つまりこの手法が使えないようにしている)。

　　Tor Project: Torbutton FAQ
　　http://www.torproject.org/torbutton/torbutton-faq.html.en

また最近はブラウザバンドル版の使用が推奨されているから、単一のブラウザでTorと非Torの接続を切り替える使い方はなくなるはず。すなわち安全ということ。

　　　*　　　*　　　*

ということで、現在のところFlashやJavaを許可しなければ、Torの匿名性は維持されているはず。


関連記事:
一番簡単なTorの使い方