中国国内でのグレートファイヤウォールを回避するためのeSIMサービス

はじめに

中国ではインターネットの検閲が厳しく、グレートファイヤウォール（GFW）によって多くの海外サイトやサービスがブロックされています。これに対抗するために、多くの旅行者やビジネスマンはVPNを利用していますが、最近ではeSIMを利用した新しい方法も登場しています。この記事では、中国国内でGFWを回避するためのeSIMサービスの仕組みについて解析してみました。

中国に行った経緯

私は、2025年の夏に中国を訪れる機会がありました。立命館大学と大連理工大学との共同ワークショップに参加するためです。 記事には関係ない話になってしまいますが、大連理工大学の学生は皆優秀で、私の研究内容に非常に興味を持ってくれました。彼らとの交流は非常に有意義な経験となりました。 また、 大連理工大学 大連理工大学のキャンパスは非常に広大で、近代的な建物が立ち並んでいます。特に、実験棟は最新の設備が整っており、研究活動に最適な環境が提供されています。

ワークショップ後の懇親会や晩餐会では、地元の海鮮料理を用いた非常に美味しい食事を楽しむことができました。特に、海鮮鍋や新鮮な魚介類の料理は絶品で、中国の食文化を堪能することができました。 大連の名物料理たち

さらに、最終日にはバーベキューパーティを開催していただき、地元の学生や教授たちと交流を深めることができました。彼らの温かいおもてなしに感謝しつつ、中国での素晴らしい思い出を胸に帰国しました。 BBQ

ちなみに、中国ではWeChat PayやAlipayなどのモバイル決済が非常に普及しており、現金を使う機会がほとんどありませんでした。これらのサービスはQRコードをスキャンするだけで支払いが完了するため、非常に便利です。

しかし、英語がほとんど通じないため、コミュニケーションには苦労しました。特に、レストランやタクシーでのやり取りはジェスチャーや翻訳アプリを駆使して乗り切りました。

また、国全体が喫煙行為に対して非常に寛容で、喫煙人口が3.5億人に達するといわれています。喫煙者である私には、最高の国でした。一度、ホテル内の喫煙所を探し回り、外にでて外にいたバスの運転手に翻訳アプリを使い「煙草を吸える場所はどこですか?」と聞いたところ

一言、「everywhere!!」と言っているのが印象的でした。

中国でのインターネット制限

中国に滞在中、私はインターネットの制限に直面しました。中国のインターネット環境は非常に制限されており、Google、Facebook、Twitterなどの主要なサービスが利用できません。これにより、情報収集やコミュニケーションに大きな制約がありました。

また、事前に大学の先生から、VPNの使用はほとんど効果がないと聞いていました。実際、私が試したVPNサービスはすべてブロックされており、インターネット接続が非常に不安定でした。

詳細に検証したわけではありませんが、著名なVPNサービスはGFWによって検知され、ランダムにパケットをドロップさせているようです。最終手段として、日本のamazonでeSIMを前もって購入し、現地で利用することにしました。

eSIMとは？

eSIM（組み込み型SIM）は、物理的なSIMカードを必要とせず、デバイスに内蔵されたチップに直接情報をダウンロードして利用する技術です。これにより、複数のキャリアのプロファイルを切り替えることが容易になり、旅行者にとって非常に便利です。皆さんも、AmazonでeSIMを購入したことがあるかもしれません。また、近年では物理SIMカードを使わずにeSIMのみを提供するスマートフォンも増えています。

グレートファイヤウォール（GFW）とは？

グレートファイヤウォールは、中国政府がインターネット上の情報を制御するために設置したシステムであり、特定のウェブサイトやサービスへのアクセスをブロックしています。これにより、中国国内からは多くの海外サイトが利用できなくなっています。これを中国政府が行うことに対しては賛否両論ありますが、この記事では技術的な側面に焦点を当てます。また、中国当局を批判する記事ではありません。

GFWの仕組み

中国国内のAS番号は、すべて中国のインターネットサービスプロバイダー（ISP）に割り当てられています。これにより、中国国内からのトラフィックはすべて中国のISPを経由する必要があります。GFWは、これらのISPを通じてトラフィックを監視し、特定のIPアドレスやドメイン名へのアクセスをブロックします。 ここで注意すべきは、GFWは中国国内のISPを通じて行われるトラフィックのみを監視しているという点です。つまり、中国国外のISPを利用する場合、そのトラフィックはGFWの監視対象外となります。

この制限を回避する方法

通常、中国国内でGFWを回避するためには、VPNサービスを利用してトラフィックを海外のサーバー経由でルーティングする方法が一般的です。しかし、近年GFWの検知技術が向上しており、多くのVPNサービスが識別され、接続が不安定になったり完全にブロックされたりしています。

eSIMサービスの場合、物理的に中国国内にいながら、ネットワーク的には海外のISP経由で接続することが可能になります。これにより、中国のISPを経由せずにインターネットにアクセスできるため、GFWの監視対象外となります。

image
中国国内の通常接続:
[ユーザー] → [中国ISP] → [GFW検査] → [海外サイト]
                         ↑ここで検閲される

eSIMサービス接続:
[ユーザー] → [中国基地局] → [海外ISP] → [海外サイト]
                           ↑GFW迂回

eSIMサービスの技術分析

基本的な接続情報の確認

私が利用したeSIMサービスの技術的な実装を詳しく調査するため、まず現在の接続状況を確認しました。通常のWebサイトでは表示されないような詳細な情報を取得するため、APIを使用して位置情報とISP情報を調査しました。

bash
$ curl -s "http://ip-api.com/json/"
{
  "status":"success",
  "country":"Singapore",
  "countryCode":"SG",
  "region":"01",
  "regionName":"Central Singapore",
  "city":"Singapore",
  "zip":"408564",
  "lat":1.32646,
  "lon":103.896,
  "timezone":"Asia/Singapore",
  "isp":"New Pos Network (S) Pte Ltd",
  "org":"New Pos Network (S) Pte Ltd",
  "as":"AS153599 New Pos Network (S) Pte Ltd",
  "query":"163.61.131.84"
}

この結果から、物理的には中国国内の大連にいるにも関わらず、インターネット上ではシンガポールのNew Pos Network経由で接続されていることが判明しました。IPアドレス163.61.131.84は、AS153599（Autonomous System Number）として登録されており、シンガポールに本社を置く通信事業者によって管理されています。

ネットワーク経路の詳細調査

実際のパケットがどのような経路を辿って目的地に到達するかを調査するため、tracerouteコマンドを使用しました。まず、YouTubeへの接続経路を確認してみました。

bash
$ traceroute youtube.com
traceroute to youtube.com (142.250.71.206), 30 hops max, 60 byte packets
 1  ROG_FLOW_X13.mshome.net (172.21.96.1)  0.346 ms  0.305 ms  0.286 ms
 2  172.20.10.1 (172.20.10.1)  4.648 ms  4.615 ms  7.205 ms
 3  192.168.208.5 (192.168.208.5)  80.975 ms  80.963 ms  84.293 ms
 4  192.168.91.3 (192.168.91.3)  84.306 ms  84.278 ms  80.827 ms
 5  10.10.10.105 (10.10.10.105)  80.815 ms  84.224 ms  84.202 ms
 6  10.0.1.78 (10.0.1.78)  80.767 ms  76.645 ms  76.625 ms
 7  google2-lacp-100g.hkix.net (123.255.91.10)  79.977 ms  89.946 ms  89.924 ms
 8  * * *
 9  209.85.240.234 (209.85.240.234)  87.528 ms
10  142.250.59.20 (142.250.59.20)  87.526 ms
11  nchkgb-aa-in-f14.1e100.net (142.250.71.206)  90.152 ms

この経路から分かるのは、最初の3ホップ（172.21.96.1、172.20.10.1、192.168.208.5）は中国国内のローカルネットワークを経由しており、その後192.168.91.3以降で海外のネットワークに接続されていることです。特に注目すべきは7番目のホップである「google2-lacp-100g.hkix.net」で、これは香港インターネット取引所（Hong Kong Internet Exchange）を示しています。

興味深いことに、Google DNS（8.8.8.8）への経路は大きく異なっていました。

bash
$ traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  ROG_FLOW_X13.mshome.net (172.21.96.1)  0.470 ms  0.451 ms  0.474 ms
 2  172.20.10.1 (172.20.10.1)  6.015 ms  6.012 ms
 3  192.168.208.5 (192.168.208.5)  119.525 ms  119.522 ms  119.519 ms
 4  192.168.91.3 (192.168.91.3)  119.515 ms  119.512 ms  119.510 ms
 5  dns.google (8.8.8.8)  119.552 ms  119.549 ms

YouTubeが11ホップを経由するのに対し、Google DNSは5ホップで直接到達していました。これは、このeSIMサービスが宛先によって異なるルーティング制御を行っていることを示しており、トラフィックの種類に応じて最適化された経路を選択していることが分かります。

ネットワーク構成の可視化

これまでの調査結果を基に、ネットワーク構成を図式化すると以下のようになります。

ネットワーク構成図

BGP（Border Gateway Protocol）構成の発見

より詳細なネットワーク構成を理解するため、whoisコマンドを使用してIPアドレスの管理情報を調査しました。この調査により、非常に興味深い構成が発見されました。

bash
$ whois 163.61.131.84

% Information related to '163.61.131.0/24AS153599'
route:          163.61.131.0/24
origin:         AS153599
descr:          New Pos Network (S) Pte Ltd
                10 Ubi Crescent
                Ubi Techpark, #06-50
                Singapore 408564
mnt-by:         MAINT-NPNPL-SG
last-modified:  2025-02-20T02:41:00Z
source:         APNIC

% Information related to '163.61.131.0/24AS24545'
route:          163.61.131.0/24
origin:         AS24545
descr:          New Pos Network (S) Pte Ltd
                10 Ubi Crescent
                Ubi Techpark, #06-50
                Singapore 408564
mnt-by:         MAINT-NPNPL-SG
last-modified:  2025-06-26T12:52:19Z
source:         APNIC

この結果は技術的に非常に興味深い発見でした。同一のIPプレフィックス（163.61.131.0/24）が2つの異なるASN（AS153599とAS24545）から起源アナウンスされていることが確認できました。これは通常のインターネットサービスでは見られない、企業向けの高可用性ネットワークサービスで使用される技術です。

AS24545について詳細を調査したところ、South China Telecommunications (H.K.) Limitedという香港の通信事業者であることが判明しました。これにより、シンガポールのNew Pos Networkと香港のSouth China Telecommunicationsの両方が同じIPレンジを管理し、冗長性と地理的負荷分散を実現していることが分かりました。これが何を表すかというと、実際には香港から出ているにも関わらず、ASの地理的情報はシンガポールとして登録されているため、シンガポールから出ているようにユーザからは見えるようになっています。つまり、私のいた大連では香港の方が近いためそちらのASが選択されますが、さらに南にいる場合はおそらくシンガポールから出ると考えられます。

BGP Anycast構成図

BGP Anycast構成図

GREトンネルの検証

このサービスがVPNやプロキシではなく、より高度なトンネリング技術を使用している可能性を検証するため、MTU（Maximum Transmission Unit）の詳細な測定を行いました。MTUとは、ネットワーク上で送信可能な最大パケットサイズのことで、トンネリング技術が使用されている場合、追加のヘッダーによりMTUが制限されることがあります。

bash
$ for size in 1450 1460 1470 1472 1480 1490 1500; do
    echo -n "MTU $size: "
    if ping -M do -s $size -c 1 -W 3 8.8.8.8 >/dev/null 2>&1; then
        echo "OK"
    else
        echo "FAILED"
    fi
done

MTU 1450: OK
MTU 1460: OK
MTU 1470: OK
MTU 1472: OK
MTU 1480: FAILED
MTU 1490: FAILED
MTU 1500: FAILED

この測定結果は非常に重要な技術的証拠でした。通常のインターネット接続では1500バイトのMTUが標準ですが、このサービスでは1472バイトが上限となっていました。この28バイトの差は、GRE（Generic Routing Encapsulation）ヘッダーのサイズと完全に一致しています。GREは企業向けネットワークサービスで広く使用されているトンネリングプロトコルで、パケットを暗号化して別のIPパケット内にカプセル化する技術です。

GREトンネルの動作原理

GREパケット構造

GRE動作経路図

プロトコル別QoS制御の発見

さらに詳細な分析を行うため、同じ宛先に対して異なるポート番号でtracerouteを実行し、プロトコル別の処理の違いを調査しました。この調査により、このサービスがQoS（Quality of Service）制御を実装していることが判明しました。

bash
# SMTP (ポート25) - メール送信プロトコル
$ traceroute -p 25 google.com
7  google2-lacp-100g.hkix.net (123.255.91.10)  96.458 ms  103.737 ms  96.458 ms

# HTTP (ポート80) - Web閲覧プロトコル
$ traceroute -p 80 google.com  
7  google2-lacp-100g.hkix.net (123.255.91.10)  125.323 ms  125.301 ms  136.090 ms

# SSH (ポート22) - セキュアシェルプロトコル
$ traceroute -p 22 google.com
7  google2-lacp-100g.hkix.net (123.255.91.10)  165.873 ms  165.829 ms  181.896 ms

同じ物理的な経路（香港IX）を通っているにも関わらず、プロトコルによって明確にレイテンシが異なることが確認できました。SMTPが最も高速に処理され、HTTPが標準的な速度、SSHが最も遅く処理されていました。これは企業向けネットワークサービスで使用される高度なトラフィック制御技術で、プロトコルの重要度に応じて帯域幅や優先度を動的に調整する仕組みです。

プロトコル別優先度制御図

プロトコル優先度図

技術提供者の特定

このサービスの実際の技術提供者を特定するため、BGPの上流プロバイダーを調査しました。BGP履歴データの分析により、AS140570が実際の技術的なバックボーンを提供していることが判明しました。

bash
$ whois AS140570

aut-num:        AS140570
as-name:        HKBCS-AS-AP
descr:          Hong Kong Beecloud System Technology Services Limited
country:        HK
admin-c:        HKBS1-AP
tech-c:         HKBS1-AP

organisation:   ORG-HKBS2-AP
org-name:       Hong Kong Beecloud System Technology Services Limited
org-type:       LIR
country:        HK
address:        RM 309, 3/F,
address:        Tung Lee Industrial Building,
address:        No.9 Lai Yip Street, Kwun Tong,
phone:          +852-62975549
e-mail:         support@beecloudsystem.com

Hong Kong Beecloud System Technology Services Limitedという香港の技術企業が、このサービスの実際の技術プラットフォームを提供していることが確認できました。この企業は香港の観塘地区にある産業ビルの小規模オフィスを拠点としており、クラウドネットワーク技術を専門とする技術系スタートアップと推測されます。

IPv6無効化による徹底的な制御

現代のインターネットではIPv4とIPv6の両方が使用されていますが、このサービスがIPv6をどのように扱っているかを調査しました。

bash
$ dig AAAA google.com +short
2404:6800:4005:804::200e

$ ping6 -c 3 google.com
ping6: connect: Network is unreachable

$ traceroute6 google.com
traceroute6: socket: Address family not supported by protocol

IPv6アドレスは正常に解決されるものの、実際のIPv6通信はすべて失敗していました。これは意図的にIPv6を無効化することで、すべての通信をIPv4経由で制御し、検閲回避の確実性を高めている設計と考えられます。IPv6は比較的新しいプロトコルで、検閲システムでの監視が不完全な場合があるため、予期しない経路でのデータ漏洩を防ぐためにIPv6を完全に無効化していると推測されます。

DNS制御システムの詳細

DNS（Domain Name System）は、インターネット上でドメイン名をIPアドレスに変換する重要なシステムです。このサービスがDNSをどのように制御しているかを調査するため、DNS over HTTPSの動作を比較検証しました。

bash
# Cloudflare DNS (1.1.1.1) 経由
$ curl -H "accept: application/dns-json" \
  "https://1.1.1.1/dns-query?name=facebook.com&type=A"
{
  "Answer": [
    {"data": "157.240.199.35"}
  ]
}

# Google DNS (8.8.8.8) 経由
$ timeout 60 curl -H "accept: application/dns-json" \
  "https://8.8.8.8/dns-query?name=facebook.com&type=A"
# 60秒後にタイムアウト

Cloudflare DNSでは正常にFacebookのIPアドレスが解決される一方で、Google DNSでは完全にタイムアウトしていました。これは前述の8.8.8.8への特殊ルーティングと関連しており、Google DNSへの接続が特別な経路で処理されているため、DNS over HTTPSサービスが利用できない状況になっていると考えられます。

事業構造の全体像

これまでの技術調査により明らかになった事業構造を整理すると、以下のような複雑な多層構造になっていることが分かります。

推定される事業全体の構成図

Hong Kong Beecloud Systemが技術的なコアプラットフォームを開発・運用し、シンガポールのNew Pos Networkと香港のSouth China Telecommunicationsがそれぞれの地域での展開を担当する構造になっています。物理的なネットワークインフラとしては、Hong Kong Cable TV（香港の大手ケーブルテレビ事業者）の設備を活用していることも確認できました。

技術的評価と考察

企業向けSD-WAN技術の個人向け応用

今回の分析により、このe-SIMサービスが従来のVPNサービスとは根本的に異なる、企業向けSD-WAN（Software-Defined Wide Area Network）技術を個人向けに応用したサービスであることが明らかになりました。SD-WANは通常、大企業が世界各地の拠点を効率的に接続するために数千万円規模の投資を行って導入する技術です。

BGPレベルでのマルチASN制御、GREトンネリング、プロトコル別QoS制御、地理的ロードバランシング、選択的DNS制御など、enterprise-gradeの技術が統合されており、個人向けサービスとしては極めて先進的な実装といえます。

金盾回避の技術的原理

このサービスが金盾を回避できる技術的な仕組みは、キャリアレベルでの透明な実装にあります。スマートフォンからは通常のLTE/5G通信を行っているだけで、実際のGREカプセル化やルーティング制御はすべてキャリアのネットワーク機器（おそらく192.168.208.5付近のゲートウェイ）で実行されています。

金盾システムからは、ユーザーが192.168.208.5というプライベートIPアドレスと通信している「国内通信」としてのみ見え、そこから先の処理はキャリアの内部ネットワーク処理として認識されます。実際の海外通信は物理的に中国国外で実行されるため、金盾の監視範囲外となります。

将来性と技術的意義

このようなキャリアレベルでの金盾回避技術は、従来のVPNサービスが抱える検知・ブロックの問題を根本的に解決する可能性があります。ユーザー側では特別なソフトウェアのインストールや設定が不要で、バッテリー消耗の増加もなく、通常のモバイル通信と同じ使用感を実現できます。

技術的な観点から見ると、個人向けサービスでここまで高度なネットワーク技術を実装している事例は非常に珍しく、ネットワーク技術の民主化と多様化を示す重要な事例といえるでしょう。Hong Kong Beecloud Systemのような小規模な技術企業が、大手通信事業者のインフラを活用して、enterprise-levelの技術を個人向けに提供できるようになったことは、クラウド技術とネットワーク仮想化技術の進歩を示しています。

まとめ

中国でのインターネット制限を回避するためのe-SIMサービスの技術分析を通じて、従来のVPNサービスとは全く異なる、企業向けSD-WAN技術を基盤とした高度なネットワークサービスの実装を確認することができました。BGPマルチホーミング、GREトンネリング、プロトコル別QoS制御、IPv6無効化、選択的DNS制御など、通常は大企業でのみ使用される技術が個人向けサービスとして提供されていることは、技術的に非常に意義深い発見でした。

このサービスの成功は、Hong Kong Beecloud System Technology Services Limitedという香港の技術企業の高い技術力と、Hong Kong Cable TVなどの既存通信インフラの効果的活用、そしてシンガポールと香港での戦略的な地域展開によって実現されています。技術的複雑さと運用コストを考慮すると、このレベルのサービスを個人向けに提供できること自体が、現代のネットワーク技術の進歩を示す重要な事例といえるでしょう。