05/13/2024 37 People found this article helpful 99,563 Views
2024 年 4 月 22 日の時点で、以前は正常にアクセスできたはずの多くの Web サイトがブロックされていると表示される、あるいは、ブロックされるはずだった Web サイトにアクセスできるようになります。
これらすべては、DPI SSL インスペクションの有無にかかわらず、ファイアウォール上のコンテンツ フィルター ポリシーを変更することなく発生しています。
これは主に、Chrome および Edge ブラウザが最新バージョン (Chrome v124.0.6367.61 および Edge v124.0.2478.51) にアップグレードされた後にのみ報告されます。
注意: この問題は全てのWEBサイトで発生する問題ではありません。一部のサイトでのみ発生する可能性があります。また、Chrome および Edge 以外のブラウザでは現在本問題は報告されていません。
この問題は、下記の通り現在リリースされている全てのバージョンで発生します。
SonicOS6.5: 本日時点の最新版6.5.4.13を含む全てのバージョン
SonicOS7: 本日時点の最新版7.1.1-7051を含む全てのバージョン
注意: 日本語ファームウェアの最新バージョンは7.0.1-5151ですが、このバージョンでも問題が発生します。
本問題はChromiumエンジンを使用したブラウザ(ChromeやMicrosoft Edge)バージョン124に追加されたTLS 1.3 hybridized Kyber Supportが原因で発生します。
この機能が有効な場合、HTTPSサイトのContents Filtering 機能(CFS)が意図しない動作をする問題となります。また、クライアントDPI-SSL機能にも問題が発生し、結果としてCFSのチェックに失敗する事象が発生します。
<内容>
2024年5月2日 更新
本問題の解決方法は、クライアントDPI-SSLを使用している場合と、使用していない場合で異なります。
尚、ブラウザの設定を変更することにより本問題が発生しなくなる一時的な回避策についてはこちらを参照ください。
CFSによりブロックされている事を確認する為にブロックされた Web サイトの宛先 IP に基づいてパケット キャプチャを実行してください。
監視タブ|ツールと監視>パケット監視へ移動します。
キャプチャされたパケットタブの画面上部にある「既定の監視」を押します。
画面上部の一般タブを開きます。
「監視フィルタ」タブへ移動し以下の設定をします。
イーサ種別:IP
IP種別:TCP
送信先 IP アドレス:該当WebサイトのIPアドレス
「詳細監視フィルタ」タブへ移動し、「ファイアウォールの生成パケットを監視する (これはインターフェース フィルタをバイパスします)。」を有効にし、OKを押します。
キャプチャされたパケットタブへ移動して「開始パケットキャプチャ」を押します。
該当のWebサイトへブラウザからアクセスしてブロックされる事を確認します。
再読み込みボタンをクリックしてキャプチャされたパケットにパケットが表示されるか確認します。
監視タブ|ツールと監視>パケット監視へ移動して「キャプチャの停止」をクリックします。
コンテンツフィルタによりWebアクセスがブロックされた場合パケットキャプチャには次のドロップコードが表示されます。 "Drop code 107 ( Enforced Content Filter Policy )"
回避策は一時的なもので、ファームウェアに関係なく、GEN6 と GEN7 の両方のデバイスで同じです。この記事は随時更新されます。