HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2008 年上期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2008 年上期)

8 インターネット経路制御のセキュリティ動向

木村 泰司

  本節で取り上げるインターネット経路制御のセキュリティは、運用技術の側面が強く、 これまでの情報セキュリティ対策という枠の中では捉えにくいものである。しかし、その 影響範囲は大きく、また特定の事業者の努力によって回避可能になるものではない。本節 では、本分野において近年特に顕在化しつつある課題として紹介したい。

概要

  インターネット経路制御は、国際的なインターネットを維持するための一種の生命線で ある。現代の国際的なインターネット経路制御においては、BGP4 と呼ばれる経路制御プ ロトコルが用いられており、日本におけるISP も例外ではない。
  2008 年の前半は、インターネット経路制御に関する大きなふたつの事件が起こった。こ れらの事件は、インターネット経路制御における混乱がインターネットの維持に大きく影 響することを身近に感じさせるものであった。また、あと3 年程に迫っているIPv4 アド レスの在庫枯渇などの、インターネット経路制御に大きな変化をもたらす事象がおこりつ つある。
  本節では、インターネット経路制御の安全性に関わる事件や事象を紹介し、ネットワー ク運用における安全対策について考えてみたい。

2008 年の初頭に起きたインターネット経路制御に関わる事件

  ここではふたつの事件を紹介する。エジプト近海で起きた海底ケーブルの障害とパキス タンで起きた経路ハイジャックである。

■エジプト近海のケーブル障害の事件[1][2]
期間:2008 年1 月30 日~2 月10 日
内容:エジプト近海の3 箇所のケーブルの障害のため広い地域で不通となる。
起こった事象:

  • エジプト、スーダン、クウェートなどで少なくとも40%の到達性が失われる。
  • 14%のAS パスの消失、AS パス長が平均9%増加(迂回)
  • BGP の迂回経路が多発し、一部のピアにトラフィック集中

■YouTube に対する経路ハイジャック事件[3]
期間:2008 年2 月24 日18:47~21:03(UTC)
内容:YouTube のAS が経路広告しているIP アドレスをPakistan Telecom が経路ハイジャック。more specific route を流すことで、特定のWeb サーバに対する到達性を、一定期間失わせた。
起こった事象:

  • 本来と異なるOrigin AS による経路ハイジャック
  • /25 のような通常は経路フィルターでフィルターされてしまう経路広告で対抗するも、回避は不可能
  • 経路ハイジャックの停止に伴い、復旧

  日本のインターネットのトポロジーを考えると、このふたつの事件の要因は、日本にお いても大きな問題になりうる。日本国内で、国際線のトランジット20のサービスを提供し ているAS は多くない。このような、いわば到達性依存度が高いAS が海底ケーブルの障 害の影響などを受けると、大規模なネットワーク障害に発展する可能性がある。
  社内および国内の特定のサーバと通信できればよいと言われることがあるが、実際には それらの通信も影響を受けてしまう。例えば、DNS が利用できなければ、エンドユーザの 観点では実質的に国内の通信も不可能である。分散配置されたコンテンツ(検索サービス やウィルスデータベースなど)にもアクセスできなくなる可能性が高い。このように、イ ンターネット経路制御の問題はその影響範囲が大きい。

「共存時代」のインターネット経路制御

  本節では、インターネット経路制御に影響のあるふたつの事象を紹介する。
  ひとつはIPv4 アドレスの在庫枯渇である。APNIC のGeoff Huston 氏の予測[4]による と、2011 年4 月にIPv4 アドレスのIANA プールが枯渇する21(図1)。枯渇期になると、 IPv4 とIPv6 のネットワークが混在すると共に、既存のIPv4 の接続性を保つための”キャ リアグレードNAT”と呼ばれる大規模なNAPT22が構築されることが考えられる。これま でのインターネットにおけるEnd-to-End の透過性に、変化がおきると考えられる。

図 1: Geoff Huston 氏による予測(赤い線がIANA プール)

  もうひとつは、2 オクテットAS 番号の枯渇である。同じくGeoff Huston 氏の予測[5] によると、2011 年4 月にIANA のプールが枯渇する。すでにRIR やNIR(JPNIC)では、 4 オクテットAS 番号の配布が始まっている。
  4 オクテットAS 番号の影響はインターネット経路制御に現れる。2 オクテットAS 番号 にしか対応していないルータは、4 オクテットAS 番号のAS の判別に曖昧さを残してし まう可能性がある。今後本格的に広まることで、AS パス23の見え方にどのような影響が出 るのかは未だわかっていない。これに乗じた、経路ハイジャックの危険性についても考慮 すべきである。

結論

  本節では、インターネット経路制御に関わるふたつの事件を紹介し、局所的な不具合が 広範囲に及ぶことを述べた。またIP アドレスやAS 番号の「共存時代」を迎え、インター ネットの透過性に変化が起ころうとしていることについても述べた。
  インターネット経路制御のリスクは、これまで大きく取り上げられることは少なかった が、今後、その障害や不正行為のリスクを明らかにし、対策を検討していく必要がある。


以上


  1. トランジット- 他のASに対して当該ASを超えたインターネット経路制御を直接的に行えるようにすること
  2. JPNIC では2006 年3 月、国内の状況や影響などをまとめた「IPv4 アドレス枯渇に向けた提言」を公開した。http://www.nic.ad.jp/ja/research/ipv4exhaustion/ipv4exh-report.pdf
  3. NAT - Network Address and Port Translation
  4. AS パス- ふたつのAS の間で、経路情報のメッセージデータが経由されているAS の順列

参考文献

目次へ
次へ