Windows Privacyフィルタ

English article is available here.

この記事のWindows プライバシーフィルタの対象はWindows10がユーザーのあずかり知らぬところで勝手に送信しているテレメトリなどの情報を収集しているMicrosoftのサーバ。

MicrosoftさんはWindows10で収集した情報を個人を特定できない形にして利用するとのことらしいが、ユーザーが解っていないところで勝手に情報を集めてるのは如何なものかということで「がとらぼ」的にはこれまたルーターやファイアウォールなどでその手の通信を止めたい。

Windows Updateとは違ってこちらの情報収集系に至ってはMicrosoftの方では一般向けに情報を公開していないのか殆ど情報が無い。特にWindows10 Home/Proエディション。Windows10 Enterprise/Educationエディションは一応Microsoftへのデータ送信を止める設定をすることができる(ことになっている)。

で、このページのフィルタ作成だが、Windows10が絶えず裏で通信している内容をパケットキャプチャして送信先となっているホストを見つけるとともに、ネットでこの手の情報を集めてホスト名のリストを作成。
集めたホスト名のIPアドレスを引きまくってIPアドレスをリストアップしたものをIPアドレスベースでフィルタするファイアウォール用に公開する。このあたりはWindows Updateフィルタと同様。また、「がとらぼ」のサーバでリストアップされたホスト名のIPアドレスを常にひきまくり続けてリストを毎日自動更新するのもWindows Updateフィルタと同様。
このIPアドレスの常時収集によりMicrosoftの方でサーバを追加したり変更したりで新しいIPアドレスが追加されたり更新があったりしても少しのタイムラグ程度で追従できる筈。(地域分けとかあったら無理だけど)

ただし、これまでに無い目的でまったく新しいホスト名で新規の情報収集サーバを建てられたらそれを知ってリストアップするまでに大きなタイムラグが発生するかも。新しい情報があったら早めにお知らせいただけると助かります。

下のリンクのIPアドレスリストには別名ホストは含まれていない。(2016年5月上旬現在は排他が不完全なのもある)
つまりaaa.example.comとbbb.example.comがあってIPアドレスが全く同じという場合は片方しかリストには入っていない。だから、ネットに挙がってる情報と比べてホスト名が大幅に足りてなくね?というのはあるかもしれないけど重複は省いているということでご承知おき願います。Windows用はユニークIPアドレスの集合のみでホスト名は記載無し。

IPアドレスリストおよびFireWallルールファイル

c:\windows\system32\drivers\etc\hostsファイルの末尾に以下を追記するとさらにインターネット回線を使った勝手な通信が減る。(Microsoft関係のみ)

0.0.0.0 skyapi.live.net
0.0.0.0 mobile.pipe.aria.microsoft.com
0.0.0.0 a-0001.a-msedge.net
0.0.0.0 a-0002.a-msedge.net
0.0.0.0 a-0003.a-msedge.net
0.0.0.0 a-0004.a-msedge.net
0.0.0.0 a-0005.a-msedge.net
0.0.0.0 a-0006.a-msedge.net
0.0.0.0 a-0007.a-msedge.net
0.0.0.0 a-0008.a-msedge.net
0.0.0.0 a-0009.a-msedge.net
0.0.0.0 a-0010.a-msedge.net
0.0.0.0 a-0011.a-msedge.net
0.0.0.0 a-0012.a-msedge.net
0.0.0.0 a-0013.a-msedge.net
0.0.0.0 a-0014.a-msedge.net
0.0.0.0 a-0015.a-msedge.net
0.0.0.0 a-0016.a-msedge.net
0.0.0.0 a-0017.a-msedge.net
0.0.0.0 a-0018.a-msedge.net
0.0.0.0 a-0019.a-msedge.net
0.0.0.0 a-0020.a-msedge.net
0.0.0.0 a-0021.a-msedge.net
0.0.0.0 array101-prod.do.dsp.mp.microsoft.com
0.0.0.0 array102-prod.do.dsp.mp.microsoft.com
0.0.0.0 array103-prod.do.dsp.mp.microsoft.com
0.0.0.0 array104-prod.do.dsp.mp.microsoft.com
0.0.0.0 array201-prod.do.dsp.mp.microsoft.com
0.0.0.0 array202-prod.do.dsp.mp.microsoft.com
0.0.0.0 array203-prod.do.dsp.mp.microsoft.com
0.0.0.0 array204-prod.do.dsp.mp.microsoft.com
0.0.0.0 array301-prod.do.dsp.mp.microsoft.com
0.0.0.0 array302-prod.do.dsp.mp.microsoft.com
0.0.0.0 array303-prod.do.dsp.mp.microsoft.com
0.0.0.0 array304-prod.do.dsp.mp.microsoft.com
0.0.0.0 cp101-prod.do.dsp.mp.microsoft.com
0.0.0.0 cp201-prod.do.dsp.mp.microsoft.com
0.0.0.0 cp301-prod.do.dsp.mp.microsoft.com
0.0.0.0 cp401-prod.do.dsp.mp.microsoft.com
0.0.0.0 disc101-prod.do.dsp.mp.microsoft.com
0.0.0.0 disc201-prod.do.dsp.mp.microsoft.com
0.0.0.0 disc301-prod.do.dsp.mp.microsoft.com
0.0.0.0 disc401-prod.do.dsp.mp.microsoft.com
0.0.0.0 geo-prod.do.dsp.mp.microsoft.com
0.0.0.0 geover-prod.do.dsp.mp.microsoft.com
0.0.0.0 kv101-prod.do.dsp.mp.microsoft.com
0.0.0.0 kv201-prod.do.dsp.mp.microsoft.com
0.0.0.0 kv301-prod.do.dsp.mp.microsoft.com
0.0.0.0 kv401-prod.do.dsp.mp.microsoft.com
#0.0.0.0 login.live.com
0.0.0.0 m.hotmail.com
0.0.0.0 a.config.skype.com
0.0.0.0 b.config.skype.com
0.0.0.0 config.skype.com
0.0.0.0 api.mcr.skype.com
0.0.0.0 prod.registrar.skype.com
0.0.0.0 dsn1.d.skype.net
0.0.0.0 dsn2.d.skype.net
0.0.0.0 dsn3.d.skype.net
0.0.0.0 dsn4.d.skype.net
0.0.0.0 dsn5.d.skype.net
0.0.0.0 dsn6.d.skype.net
0.0.0.0 dsn7.d.skype.net
0.0.0.0 dsn8.d.skype.net
0.0.0.0 dsn9.d.skype.net
0.0.0.0 dsn10.d.skype.net
0.0.0.0 dsn11.d.skype.net
0.0.0.0 dsn12.d.skype.net
0.0.0.0 dsn13.d.skype.net
0.0.0.0 dsn14.d.skype.net
0.0.0.0 dsn15.d.skype.net
0.0.0.0 dsn16.d.skype.net
0.0.0.0 client.wns.windows.com

Hostsファイルの編集方法。

スタートボタンを右クリック。「コマンドプロンプト(管理者)」を左クリック
cd drivers\etc [Enter]
notepad hosts [Enter]

ノートパッドが開くので編集して上書き保存。

Bingなどのウェブサイトに繋がらなくなった場合

プライバシーフィルタに含まれる204.79.197.200が原因です。

対応方法

  1. コントロールパネルからWindows ファイアウォールを開き左列の詳細設定を開く
  2. 左列の「送信の規則」を左クリック
  3. 中央列のWindows10Privacy_Outboundを右クリック
  4. プロパティを左クリック
  5. 上に並ぶタブから「スコープ」を選択
  6. 中央のリモートIPアドレスのIPアドレスリストから204.79.197.200をスクロールして探して選択
  7. IPアドレスリスト右側の[削除]を左クリック
  8. [適用][OK]を左クリック
  9. この作業で開いたウィンドゥを閉じる

2017年1月28日追記:
記事中の「追記するとさらに」に6ホスト追加。

2016年5月6日追記:
これまでpf用テーブルのみの提供だったがLinuxでよく利用されるiptablesを設定するためのBourne ShellスクリプトとWindows FirewallをPowerShellで設定するためのスクリプトの提供を開始した。

2016年5月26日追記:
外国のサーバでIPアドレス収集したら違う結果が得られるのでリージョン分けしているのが確定。予想はしてたけど。
その分ける範囲がどのくらい細かいのかがわからないのが困る。

2016年5月27日追記:
アメリカとドイツのサーバでIPアドレスを収集し始めたのでそれらも公開対象に。
アメリカのは太平洋側に近い側にあるサーバで米国全土がこれでいけるのかは不明。
もっとサーバが欲しい。

2016年7月4日追記:
プライバシーとは微妙に違うかもだが、勝手にMicrosoftと通信しているものについてHostsファイル用のリストを用意。Hostsファイルの編集方法も追加。

2016年11月5日追記:
知らない内にドイツのレンタルサーバが停められていたのでIPアドレス取得ができなくなっていた。
レンタルサーバでやると面倒なのでそれぞれの国の公開リゾルバを利用して名前解決することに。

関連記事:


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です