R18サイトを見たい中学生男子と保護者の攻防(保護者側)

2023-12-23

エロとお金に対する欲望は何にも勝る

が、中学生男子の欲望のままに、現在のインターネットを使わせるわけにはいけないのが現実です。

30年前や40年前なら、せいぜい流通している雑誌が限界だったので別に気にすることはないんですが、今は全開すぎる動画も平気で検索できるのが困ったところです。

上記の後、色々と対策はしていたのですがやっぱり抜け穴を見つけるのが中学生男子の欲望のすごいところです(笑)

具体的には

  1. 子どものオンライン講義(zoom)用にWindowsのローカルアカウントを作ったPCがある。
  2. 普段使わないので、ネットワーク設定は大人用のままだったことを忘れていた。
  3. そのPCを使ってローカルアカウントにログインすれば制限無いのがばれた。

となりました。

実際の対策としては、該当するPCが接続するネットワークを子ども用に変えただけですが、検証を進める上で色々と抜け穴が見つかったので慌てて追加の対策を加えました。

抜け穴と対策

DNSフィルターはDNSサーバーを明示的に設定すれば突破可能

家で使っているルーターはUniFi Dream Routerですが、VLANで分けたネットワークごとにDNSフィルター(アダルト、危険なサイト等)をかけることができます。

注意点としては「ルーターが参照するDNSサーバーの設定に依存する」ことでした。

ルーターからのDHCPサーバー経由で割り振られる場合はフィルターのかかるDNSサーバーが設定されるようですが、デバイス側から直接パブリックDNSサーバーを指定するとDNSフィルターはかかりませんでした。

トラフィックルールで「DNS」「DNS over TLS」をブロックするように設定しましたが、思ったような動作はしていないようです。

考えられる原因

・DNS over HTTPS

AndroidでChromeを使っている場合、基本的にはDNSサーバーへのアクセスもDNS over HTTPSになっていると思われます。

明示的に強制していない場合は、ネットワーク側でフィルタリングされていると通常のDNS通信になると言われていますが、エンタープライス用途でのActive Directry設定など、厳密に設定されていないとフィルタリングの判断はされないようです。

そのため、デバイス側でDNS over HTTPSに対応しているパブリックDNSサーバー(8.8.8.8)を入力するだけでフィルターは回避できるようでした。

セキュアDNSの参考資料(https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d3/d3-yamaguchi.pdf

対策

パブリックDNSを個別指定でブロック

ひとまず、上記のセキュアDNSで設定できるDNSサーバーのIPアドレスを個別に指定してブロックすることにしました。

とは言え、他にもDNS over HTTPSに対応するパブリックDNSサーバーはあるので、全てブロックするのは大変ですし、いたちごっこになるだけではあります。

どこまで対策するか…は難しいところです。

残る懸念

トラフィックルールやフィルタリングでProxyやVPNも防ぐようにはしていますが、こちらもDNSと同様に抜け道は多いようです。

実際、Google One VPNはブロックされたトラフィックもありますが、最終的には接続できました。

我が家の結論

ひとまず、当該PCのローカルアカウントは削除し、子ども用のMicrosoftアカウントでしかログインできないようにしました。

もちろん、ネットワークは子ども用に変更済みです。

それでもあがいていた気配は見られますが…。

DNSフィルターの回避については、現状ではまだそこまでの知識が無いので、代表的なサーバーだけブロックでも大丈夫だろうと判断しました。

今後、知らない内に知識をつけてもまずはフィルタリングアクティビティに引っかかってくるだろうとの想定です。

おわりに

男心もわかるのであまり制限を厳しくしたいとは思っていないですが、いきなり無修正動画が「どかん」と出てくる現在の環境も困ったところです。