はじめに
中国国内のユーザーや研究者は、GFW を回避するためにさまざまな技術を試みてきました。
一方で、GFW 側もそれらを識別・ブロックする仕組みを進化させています。
1. VPN(Virtual Private Network)
回避技術
-
暗号化トンネルを経由して国外サーバーに接続し、検閲を回避。
-
OpenVPN、IKEv2/IPSec、WireGuard などのプロトコルが利用される。
GFW の対抗手段
-
DPI(Deep Packet Inspection)で VPN プロトコル特有のパケットを識別。
-
通信パターンの異常を検出し、IP 封鎖や接続リセットを実行。
-
中国国内の VPN サービス提供はライセンス制により厳格に制御。
2. Shadowsocks(影梭)
回避技術
-
中国人開発者が作成した 軽量プロキシツール。
-
通常のトラフィックに似せた暗号化通信を行い、DPI を回避。
-
TCP/UDP 両対応で、柔軟にサーバーを立てられる。
GFW の対抗手段
-
アクティブプロービング(GFW が疑わしいサーバーに実際に接続してテスト)。
-
Shadowsocks 特有の初期ハンドシェイクを検出。
-
一定時間内に複数ユーザーが同一サーバーへ接続した場合に「怪しい」と判断しブロック。
3. Tor(The Onion Router)
回避技術
-
世界中のボランティアサーバーを経由する匿名通信ネットワーク。
-
多層暗号化(Onion Routing)により中継者にも通信内容を隠蔽。
-
Pluggable Transports(obfs4、meek など)でトラフィックを一般通信に偽装。
GFW の対抗手段
-
公開されている Tor ノードの IP を定期的に収集・封鎖。
-
obfs4 などもトラフィックの統計的特徴から識別。
-
meek のような「CDN 偽装」方式に対しては、帯域制限や CDN 事業者への協力要請を実施。
4. その他の技術
TLS/SNI 回避
-
SNI フィールドに「許可されているドメイン」を偽装して回避。
-
GFW は SNI 検査+不審な TLS 指紋をブロック。
DoH/DoT (DNS over HTTPS/TLS)
-
DNS 汚染を避けるため、暗号化された DNS を利用。
-
GFW は DoH サーバー自体の IP を封鎖、あるいはトラフィックパターンを検出。
回避技術と対抗手段のまとめ表
| 手段 | 原理 | 優点 | 欠点・リスク | GFW の対策状況 |
|---|---|---|---|---|
| VPN | VPN プロトコルで暗号化トンネルを作成 | アプリが豊富、簡単に導入可能 | 商用VPNはほぼ封鎖、法的リスクあり | DPI識別、IP封鎖、未認可VPN排除 |
| Shadowsocks | 軽量暗号化プロキシ、通常通信に偽装 | 高速・柔軟、自建可 | 公開ノードはすぐ封鎖 | アクティブプロービング、ハンドシェイク検出 |
| V2Ray / Xray | WebSocket+TLS などで流量偽装 | 高度な偽装、柔軟性高 | 設定が複雑 | DPI+統計解析、IP/ポート封鎖 |
| Tor | 多層暗号化 + 世界中の中継ノード | 匿名性が非常に高い | 低速、公開ノード封鎖済み | ノード封鎖、obfs4検出、帯域制御 |
| CDN 中継 (meek) | CDN 経由で正規HTTPSに偽装 | 一般通信に紛れやすい | 帯域制限・不安定 | CDN協力でブロック、流量制御 |
| DoH/DoT | DNSクエリを暗号化 | DNS汚染を回避可能 | IP封鎖には無効 | DoHサーバー封鎖、パターン検出 |
まとめ
中国防火墙(GFW)は、世界で最も大規模かつ複雑なインターネット検閲システム といわれています。
検閲手法は IP封鎖、DNS汚染、DPI、TCP Reset など多層的。
回避技術(VPN、Shadowsocks、Tor 等)は存在するが、GFW 側も進化し続けるため「いたちごっこ」が続いている。
一般ユーザーが安定して利用できる方法は限られており、国内サービスの依存度が高い状況 が形成されている。