SSブログ

NURO光へ変えたお話 [ネットワーク]

私は長年、So-net のADSL接続サービスを利用してインターネットへ接続してきた。

そしてこれまで大した不自由もなくインターネットを利用して来たが、この度So-netのADSL接続サービスが2021年9月いっぱいで終了という事で、回線の変更を余儀なくされる事に。

そこで選んだのがNURO光。

私の住所は永くNURO光のサービス圏外だったが、タイミング良く?圏内に入ったようなので候補に挙がり、光回線がNTTとは別の独自回線という事で、昨今のコロナ騒ぎで遅くなったNTT回線を回避するという理由からの選択であった。
※首都圏など都会では、そんな事はないらしい。

だが一つ、大きな懸念が。

それは光回線によるインターネットへの接続に絶対必要な、ONU(光回線終端装置)というデバイスが中国企業のZTEやHuaweiのONUであるという事。

最近は台湾企業のSercomm製やSONY製の端末もあるらしいが、NURO光は普通に契約するとONUを選べないうえに、例外的に選択出来るSONY製ONUは私にとって不要なサービスの契約を強要されるため選ぶ事が出来ず、「運が良ければSercomm製ONUかも?」という状況でNURO光を契約せざるを得なかった。

そして結果、私の元に届いたONUは運悪く“HuaweiのHG8045Q”となった。


さて。

セキュリティの観点で言えばHuaweiのONUなど論外である。

だが交換は不可能でないにしろ、正当な理由をもってかつゴネる必要があるようで、その行為自体私には許容できない事だった。

となるとHuaweiのONUを使いつつセキュリティの確保を目指さなければならない。

幸い先人達が公表してくださっている情報が豊富にあり、私の懸念を回避する策もあるようだった。

以下はその“HuaweiのONUを使わざるを得ない私がどうやってセキュリティを確保したのか”を記すものである。


光回線の場合、光ケーブルから入って来る信号はONUによって一般的な銅線によるLANの信号に変換される。

そしてその信号はONUからルーターに引き渡され、ルーターによって各デバイスのIPアドレスに対して送信、という事になる。

ここでNURO光のONUが厄介なのは、ONUとルーターが一体化されている事。

昨今はNTTなどでもONUとルーターは一体になっているが、本来ONUとルーターは別のモノなので、NTTの場合必要であればONUとルーターを別にしているし、ルーター一体のONUでもルーター機能をOFFに出来るのが普通だ。

しかしNURO光のONUはルーター機能をOFFに出来ない。

HG8045Qの場合、過去に管理者用のIDとパスワードが解析され、それを用いる事でルーター機能をOFFに出来たようだが、その後のファームウェアアップデートによって管理者用のIDとパスワードは変更されてしまったため、今はもう出来ない。

そこで残るルーター機能を回避する手段が、DMZを経由したネットワーク信号の横流しだ。

DMZというのは本来戦争用語で「武装衝突を避けるための緩衝地帯」を指すが、ネットワーク用語としては「インターネット(WAN)とローカルエリアネットワーク(LAN)の間に置く緩衝地帯」という意味で用いられる。

一般にはこのDMZにネットワークの通信を制御するサーバーを置いて通信を制限する事で、外部からの攻撃を防ぐ事になる。

このDMZに自前で用意したルーターを指定してやれば、“屋内のLAN内からは見かけ上 HG8045Qは存在しない”事になり、自前のルーターがインターネットとの通信制御を担う事になる。

ちなみに、これは所謂“二重ルーター”というヤツで、トラブルや通信の遅延の原因になるため推奨されないのだが、適切な設定でトラブルは起きないし、ルーターの性能が高ければ遅延は無視出来るため、今回セキュリティを重視して二重ルーターにする事にした。


という事で、HG8045Qの設定は以下のように行った。

まずHG8045Qの電源を入れてLEDの点灯でインターネットに接続されている事を確認し、LANポートに有線でパソコンを接続して「192.168.1.1」にアクセス、管理画面にログインする。(この時初めて設定画面にアクセスするのであればパスワードの設定を要求されるので、パスワードも設定する)

管理画面に入ったらHG8045QのIPアドレスを「192.168.100.1」など、左から3つめを自前ルーターで使わない数に設定。(初期値の192.168.1.xxx が自前ルーターで使わないアドレスであればそのままでOK)

次にHG8045QのLANポート(黄色のWANポートではない)から有線で自前ルーターのWANポートに接続し、自前ルーターを起動させる。

しばらく待つとHG8045Qが自前ルーターを認識するため、「転送ルール」のタブを開いてDMZの設定を行う。

ホストアドレス項目の右側にあるドロップダウンリストを開くと自前ルーターのMACアドレスがあるので、これを選択してチェックボックスをチェック、その後適用ボタンをクリック。

HG8045Q_dmz.png
DMZの設定画面。こんな感じに設定してあげれば良い。

最後に「WLAN」のタブを開いて無線LAN機能を全てOFFにする。

あとは全てのデバイスを自前ルーターに接続するようにすれば、インターネットの通信は自前ルーターによって管理される。

これでHG8045Qにセキュリティの穴が存在したとしても、自前ルーターより内側は守られるという寸法だ。


また、忘れてはならないのがDNSの設定。

DNSとは、例えばあひる先生のサイトを見る場合「https://duckduckgo.com/」というようなURLをブラウザに入力する。

この“URL”はインターネット上の住所のようなものだが、これはあくまで人間にわかりやすく表記したものであり、実際の住所は「40.89.244.232」という10進数の羅列となっている。(IPv4の例。今後主流のIPv6では 0123:4567:89ab:cdef という感じの16進数の羅列になるが、あひる先生はIPv6の住所を持っていないようだ。なお厳密にはIPv4が32桁、IPv6は128桁の二進数が本当のIPアドレス)

すると「https://duckduckgo.com/」と入力された住所は、誰かが本来の住所である「40.89.244.232」に変換しなければ通信が届かない。

その変換を担うのがDNS(Domain name System)という仕組み。

一般にWindowsパソコンの場合、ルーター本体のIPアドレスが自動的に設定される。

恐らくルーターは内部に設定されたインターネット上のDNSサーバーに名前解決の要求を投げるだけだと思われるが、ルーターに設定された初期値のままだと接続先のDNSサーバーがどんなものかもわからないし、もしそのDNSサーバーが犯罪者に乗っ取られていたりすれば本来の住所と通信が出来ない。

そんな事ってあり得るのか?と思うかもしれないが、DNSサーバーの内容が書き換えられて犯罪に利用された例は実際にある。

従ってルーターには必ず信頼の置けるDNSサーバーのアドレスに設定し、初期値のままにしてはいけない。

今回私は、自前ルーターへの設定は当然として、念のためルーターとして利用していないHG8045Qも設定を行った。

なお、私がお勧めするDNSサーバーのアドレスは「9.9.9.9」だ。

「quad9」と命名されたそのDNSサービスは、「IBM Security」「Packet Clearing House」「Global Cyber Alliance」の3つの組織によって始められたサービスであり、悪質なWebサイトへのアクセスを自動的にブロックする機能を持っている。

このquad9をDNSに設定するには、DNSのアドレスを以下のようにする。

IPv4の場合
優先 DNS サーバー:9.9.9.9 代替 DNS サーバー:149.112.112.112

IPv6の場合
優先 DNS サーバー:2620:fe::fe 代替 DNS サーバー:2620:fe::9

なおDNSの設定はルーターの機種により違うので説明書を読んで書かれている通りに行う。

HG8045Q_dns.png
DNSの設定はこんな感じ。

以上、ここまでやっても不安は拭えないが、何もしない場合よりもはるかにマシになるだろう。


ちなみに、NURO光が何故中国企業のONUばかり採用しているのか理由を考えてみたが。

これはNURO光の持つ高速回線に答えがありそうだ。

どういう事かというと、NTTなどが持つ光回線はGE-PONという技術が使われているため、ONUも当然にGE-PONに対応する物が使われている。

一方でNURO光はGE-PONの2倍速いGPONという技術を使う光回線を独自に構築している。

当然GE-PONとGPONに互換性はなく、NTTの光回線を利用する業者が採用するNEC製などの光回線の器材はNURO光の回線では使えない。

日本国内の企業が開発する光回線の器材はGE-PON対応なので、NURO光の回線で必要なGPONに対応する器材はNECなどの国内企業から調達する事が出来ないのだ。

一方、NURO光のGPONは世界で標準的に使われている技術で、これに対応する器材は当然に中国企業も持っている。

また、HuaweiやZTEといった通信機器を扱う中国企業は日本国内で強い影響力を持つ。

実際日本国内はインターネットの基幹回線から端末のスマートフォンまで、中国企業の持つシェアは高い。

そのうえ、中国製器材は安くて高性能と来れば、営利企業として採用しないという選択肢は無いだろう。

こうした背景があって、NURO光もHuaweiやZTEのONUを採用したのだと思われる。

以上の事を短くまとめると

「NURO光が中国製のONUを使う理由は、日本国内の光ネットワーク関連企業が高コストで性能が低いモノしか扱っていないので、2Gbpsという高速回線を実現するためには光回線の構築に中国製の器材を使う以外の選択肢が無いから」

と私は考えている。


最後に、“HG8045Q”の使用は危険ではあるが、使ってもいますぐ問題が起きるわけではないと思う。

ただファームウェアの更新が完全自動かつ強制である上、中国には「中華人民共和国国家情報法」という法律が存在する。

なので、拒否が不可能なファームウェアのアップデートを通じて後から“仕込む”事は簡単に出来るし、法的根拠があるためそうしない理由が存在しない。

さらに、バレたら信用問題になるからそんな事は出来ないという考えを持つ人は多いと思うが、ネットワーク機器やサービスなどで過去にセキュリティの問題を起こして信用問題になった例を私は知らない。

過去の例では全てが「ごめんなさい」で許されているし、問題が発覚した後に「対策したから良いでしょ」となっていて、その後もこうした企業は新製品やサービスが売れ続けている。

最近の大きな例はLINE社で管理していた個人情報が中国国内の下請企業で自由に閲覧出来た問題。その後LINEのサービスが信用問題で利用されなくなったか?実際はまったく変わらず日本国民に愛され続けているではないか。

なので、中国製のルーターがバックドアなどを最初から仕込んでいて、バレたらごめんなさい、対策しました、で済ました上で、対策された新しいファームウェアには新しいバックドアが仕込まれている可能性が非常に高い。

中国製の機器を採用する国内企業も全てを管理するなど不可能だし、そもそもそういった業務をアウトソーシングしていて請負先が中国企業、場合によってはLINE社のように偽装して日本企業のフリをしている外国企業、である事も考えられる。

それにNURO光のONU一体ルーターは、設定があまり細かく出来ないように機能が封印されている事も気になる。

心配な人はNURO光と契約しない事が最善であると私は思うが、止む無くNURO光と契約する場合、自前ルーターを自力で設定して使う事をお勧めする。


参考

超高速インターネット接続サービス「NURO 光」(以下略)
https://atmarkit.itmedia.co.jp/ait/articles/2011/16/news001.html

ご提供する機器に関して
https://www.nuro.jp/device.html

NURO光のルーター(HG8045Q)の設定&調査
http://www.tobiusa.jp/it/dev/2021/1200/

NURO光以外の光回線も危険!? セキュリティに問題あり 安全に使う方法は?
https://xn--nuro-ec4c955q3ibyw2bgf2b038c.jp/nuro-ipv6-fw-security/

TikTokの脆弱性について思う事
https://17inch.blog.ss-blog.jp/2021-01-27



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

ファブリック素材ではなく布と言え! [雑談]

最近そこかしこで目立つようになっている単語がある。

それは「ファブリック素材」

少なくとも私の目に入る範囲で使われるのは、椅子やソファなどの家具類に多い。


初めて目にした時にはなんの事か一瞬考えたが、モノを見て「ああ、布の事か」と理解した。

それからしばらくは目にしても特に気にはしなかったが、やはり何か違和感が残る。

素直に「布」と言えば良いところをわざわざ横文字にするとは。

しかも、問題は素材の布がどういう物かなのに、普段使う事が無い横文字のおかげでその説明が曖昧でも良い素材であるかのように感じてしまう。


ファブリックとするのは何故?と疑問が湧いたので色々考えたが、思い至ったのは印象操作だ。

例えば※「ゲヴェルクシャフト」という名前を見たら、この単語の意味を知らない日本人は何を想像するだろうか。

あえて具体的な例は挙げないが、それぞれの人生で得た知識や経験からいいかげんな想像をするのではないだろうか?

このように人間は勝手な思い込みが得意な生き物で、知らない事や理解出来ない事を自分に都合が良いように解釈する。

こうした事から、一般にあまり知られていない別の文化圏から単語を拝借して命名すると、客は勝手な思い込みと勘違いで物欲を掻き立て、購買行動につながるのだ。


実際に見て触れてみれば単に布が使われているものを、わざわざファブリックなどと。

何か気持ちが悪いから、ファブリック素材ではなく布と言え!

と思う。


※ドイツ語で「労働組合」の事。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

中国製スマートフォンが危険な理由 [セキュリティ]


中国製の携帯電話に検閲機能、リトアニア政府が不買・処分を勧告
https://jp.reuters.com/article/lithuania-china-xiaomi-idJPKBN2GI0FG


記事によると、リトアニア政府は国民に対し「中国製スマートフォンの不買・処分を勧告」したそうだ。

理由は「検閲機能が内蔵されている」からで、この機能は停止させてもいつでも遠隔で再起動されるそうだ。

要するに中国製のスマートフォンを使うと、使用者のあらゆる情報が中国政府に丸見えであるという事。

そして遠隔操作が可能である以上、何をされてもおかしくはないという事だ。


こうした話は事実無根の妄言ではない。

その根拠を挙げると以下のようになる。

・中国は軍・民が一体となって国策を推し進めている事実がある。
・中国は自国の権益拡大に非常に貪欲で、世界中を食い物にしている事実がある。
・中国は前記二つの目的のため、国内外の情報を欲し、また情報操作も行っている。
・中国は自国の体制維持に神経質であり、このための情報収集と情報操作も行う。
・中国はこれら全ての目的のために「中華人民共和国国家情報法」という法律を持つ。
・「中華人民共和国国家情報法」がある限り、中国側からの各種工作を止める手段は無い。


とりあえず思いつくのはこの程度だが、他にも中国企業は元々モラルが低く自分の利益のためならなんでもやる、という事もある。(まあモラルの低さは欧米企業をはじめ日本企業も負けてないが、全体的に見れば多少はマシ)

さらに、経済的な利益を重視するあまり「問題がある事を国や業界が無視している」事実もあり、こうした事も中国製スマートフォンが危険な理由の根拠になる。

ちなみにリトアニアの対応は政治的な意図がある事が明白なわけだが、問題がある事はかなり前から知っていて、これまであえて無視していたがタイミングを見計らって出してきた可能性が高いと私は考えている。


記事ではシャオミとファーウェイの端末で問題が見つかった一方、「OnePlus」という日本では知られていないメーカーの端末では問題が見つからなかったと書かれている。

しかし、ファームウェアのアップデートを通じていつでも“仕込む”ことが可能である以上、“今問題が無いからといって今後も無いとは限らない”。

過去、問題があるとされたいくつかの中国製機器はその後の調査で“問題無し”と判定された例が多いが。

問題が発見される兆候があれば証拠隠滅を図り、火消しが終わった後に再度“問題あり”になる可能性は高い。

こうした問題は“やる側の価値観”で考えなければならないのは当然の事だが、それが出来ない事の方が普通なので、この問題はほとんどの人にとって単なる陰謀論にしかならないし、そうでない人もほとんどが根拠もなく疑っているだけなのが現実。

本当はどうなのかを知りたいと思うのなら、現実をありのまま見る目を養い、必要な情報収集と考え方の構築を時間をかけてやるしかない。


というワケで、日本国内では相変わらず中国製のスマートフォンが大々的に売り出され、大きなシェアを持っている。

これは危険だと、そういう意識を持つべきである。



参考:

中国 スマートフォン 監視
https://duckduckgo.com/?q=%E4%B8%AD%E5%9B%BD+%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%B3+%E7%9B%A3%E8%A6%96&ia=web



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

パソコンの組立てで電動ドライバーは注意が必要 [工具・ねじ]

今日、こんな広告記事を見つけた。


PC組み立てにも便利な電動ドライバー
https://pc.watch.impress.co.jp/docs/column/yajiuma-mini-review/1352015.html


記事では snapfish というメーカーの電動ドライバーのレビューを行っているが、記事を見る限りパソコン用として適しているのか、かなり疑問に思う。

理由の一つは握り部よりも前が非常に太い事。

パソコンはケース内部など狭い所にドライバーを入れる事が多い。

握り部よりも前が太いとこれが邪魔になるし、視界を遮るので使い辛いのだ。

そして二つ目の理由。

記事に書かれているが中途半端にトルクが強いようで、しっかり握っていないとねじが締まった時に反動で本体が回ってしまうらしい。

トルク調整機構もあるようだがこうした安価な製品ではまるでアテにならない。

さらにしっかり握ってグリップの空転を防いだとしても、+ミゾからドライバーの先端が外れて+ミゾを壊す事になるだろうし、その場合ドライバーがねじから外れて他の部品を傷付けたりするかもしれない。

したがって、この電動ドライバーでパソコン用のねじを無神経に締め付けてしまうと高い確率で部品を壊す。


何故パソコン用として使うにはトルクが強いのか言うと、安価な電動ドライバーのほとんどは組み立て式の家具などを組み立てる事を想定しており、使用するねじも太さが4~6ミリ程度である事を前提としたトルク設定である事が普通(大抵は2N以上)であるからだ。

また、電動ドライバーはトルクリミッターが付いていなければ一瞬でオーバートルクになるので、パソコンの組み立てで使うなら、ねじの座面が部品と接触したらすぐに回転が止まるくらいトルクが弱い物を選択すべきである。

ねじの繊細な締め加減が必要な物の組み立てでは、ねじの早回しのみ電動で行い、最後の締め付けは手の感覚で探りながら「キュッ」と締める事が重要なのだ。

dendora_0.jpg
私がパソコン用にと思って買った電動ドライバー。買って一年以上経つが結局使っていない。

参考のため以下にパソコンで使われているねじの締め付けトルクを記す。

パソコン用ねじの締め付けトルク
※条件は一般的なパソコンの組み立てで使われる部品の取り付け時

単位(N・m)
ねじ種類 締付トルク
M2 0.08~0.2
M3 0.4~0.6
M4 0.8~1.5
#6 3/16 0.5~0.8


表を見ればわかるが、パソコン用のねじはかなり低い締め付けトルクで締められている。

ねじが細いものばかりである事もそうだが、めねじ自体の強度が低い場合が多く、板金加工で製造されたPCケースなどはねじ山をセルフタッピングビスというねじ自身にねじ山を作らせている場合すらある。

またそうでない場合でもプレス加工の後に転造タップでねじ山を作るが、薄い鉄板に転造でめねじを作るからねじ山がしっかり作れなかったり、中国の工場で加工するのだから転造タップも材質や精度が悪かったり消耗したタップをそのまま使ったりなど当たり前で、普通ならねじ山が壊れないトルクでも簡単にネジ山が壊れてしまう。

だから、自作パソコンではねじの締め過ぎには注意が必要だ。(同時に緩すぎは厳禁。)

なお表中のトルクに幅があるのは、条件の違いで必要なトルクが変わるからだ。

そして、単に自作パソコンを組み立てるだけならば、ねじのトルク管理はそれほどシビアではないという事もある。

要は部品を壊さない範囲で、ねじが緩まない程度の強さで締まっていればいい。

重要なのは今締めようとしているねじの締め具合を、取り付ける部品の組み合わせやねじの状態などから推測して判断し、適正な締め具合で締める事なのである。


ちなみに、ねじを外す時にも電動ドライバーは便利な道具だが。

重要なのは締める時と逆の意味で同じ、締まったねじは一度手で緩めてから電動でねじを外す事。

こうする事でねじの+ミゾをつぶしてしまう事を防げるし、電動ドライバーに過負荷をかける事がなくなるので故障を防ぐ事も出来る。

まあ、任意のタイミングで回転を止める事が難しい電動ドライバーは、よほどねじの扱いに長けているか、これからしっかり練習しようと思っている人以外、使わない方が無難だと思う。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

Windows7互換モードでOK [ソフトウェア]

最近Windowz10において、私が日常的に使う古いアプリケーションが上手く動作しないという現象が立て続けに起きている。

症状は様々なので具体的にどう上手くないのかは省略。


例を一つ挙げるならば「Winamp 2.80」。

これを起動させると“Can't access registry information...”というメッセージのダイアログが出て、ダイアログを消すと起動はするが通常消しているエンハンサーのウインドウが出てしまう。(ほんの2~3か月前は普通に起動していたはず)

Winamp_err.png
件のエラーダイアログとWinamp 2.80。

このため、起動の度にダイアログの“OK”ボタンをクリックし、エンハンサーのウインドウを消す操作がかなり煩わしい。


この問題を解決する方法を考えたが、Winampを互換モードで動作させるくらいしか思いつかないのでやってみると成功。

最初はWindowz Xp時代の古いモノなのでXp互換にしたが、UACの暗転が出るためWindowz 7互換にすると以前の動作に戻った。

ちなみに他のアプリケーションも全てWindowz 7互換モードで解決。

事なきを得た。


Windowz10は過去のアプリケーションとの互換性が段々悪くなっている。

これはある程度仕方のない事かもしれないが。

Windowz10に対応する新しいモノにはロクなモノがなく、なんとか使えそうなモノでも無駄が多すぎて使う気にならない。

必要な機能を使いやすく実装するだけなら一桁MB(メガバイト)もあれば足りるようなアプリケーションが、数十~数百MBもインストール領域を必要とするなんてありえない。

ましてやインターネットに接続出来ないと動作しないなど言語道断である。

シンプルな昔ながらのWin32アプリがいい。

そう思っているのは私だけではあるまい。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

これを買うならPS5を買う方が良い [ハードウェア]

こんな現実は受け入れられない。

ミドルレンジのビデオカードが7万円超えだと。


7万円のRX 6600 XTカードが売り切れ続出という現実
https://www.itmedia.co.jp/pcuser/articles/2109/04/news038.html


マイニングバブルが発生する以前であればこのクラスの性能帯に属するビデオカードは2万円前後、高価な物でも3万円程度だったはずだ。

それが今や6~7万円もするとは。

これならば4~5万円で買えるPS5を買う方が良い。

もっとも、そのPS5も品不足で入手が非常に困難だが。


一体何時になったら価格が正常化されるのだろう。

世界のニュースを一通り眺めると、コロナ問題以外にも価格高騰の要因が多くてまだ数年はこのままなのではないかと思えてくる。

もちろん、その間に半導体の需要が減る可能性も考えられるが、この問題で利益を得ている者達はこの状況を出来るだけ長引かせようとするだろう。

要するに価格高騰のバブルが弾けない限り、この状況はずっと変わらないのだ。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット