HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年上期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年上期)

5 インターネット経路制御のセキュリティ動向

木村 泰司

1 インターネット経路制御におけるセキュリティ

  インターネットは国際的な情報通信を支えるネットワークインフラであるが、技術的には相互接続されたIPのネットワークである。この相互接続ネットワークを支えるインターネット経路制御の仕組み上の弱さが解明されつつある。本稿では、2009年度前半の動向として、インターネットの相互接続を支える「インターネット経路制御」のセキュリティに関連するトピックを2つ紹介する。1つは2009年2月にあったLong AS Path事件で、インターネットの相互接続を支える多くのBGP(Border Gateway Protocol)ルータが影響を受けた。もう1つは情報セキュリティ技術のカンファレンスであるBlack Hatで発表されたBGPにおけるMan-in-the-middle攻撃である。
  インターネット経路制御は、ネットワークインフラのセキュリティの根幹に関わる技術であり、そのリスクと影響範囲は大きい。本稿ではその重要性を踏まえ、事象とその解説に加えて、日本国内で行われている研究開発についても紹介する。

2 Long AS Path事件

  インターネット経路制御で使われているBGPは、IPアドレスのprefixとAS番号の情報などの属性情報を交換し、IPのネットワーク同士を接続するプロトコルである。日本国内の主要ISPや大学などのネットワーク利用組織ではAS番号の割り当てを受け、BGPを使って相互接続を行っている。BGPはインターネットの基幹部を支える重要なプロトコルである。
  Long AS Path事件は2009年2月17日午前1時頃(日本時間)から1時間ほど不適切な経路情報がBGPのネットワークで広告され、国内を含む一部ISPのインターネットとの接続性が失われた事件である。具体的には、AS29113などから47868というAS番号を多く連結された不適切なAS PathがBGPで伝播し、一部の処理能力の低いBGPルータが機能停止するなどした。この影響で国内でもインターネットへの接続性を失ったISPがあった。長いAS Pathを含む経路情報が広告された原因は、特定のベンダーのルータのバグか、また設定不良であると考えられているが[1]、この経路広告が現在は行われていないことからこの不具合は修正済みであると考えられる。しかし不適切な経路情報はインターネットに接続したいずれのBGPルータからも広告することが可能であり、それを受信したBGPルータが適切に挙動できなくなる可能性は十分にある。特定のルータのプログラムを修正することは重要であるものの、インターネット経路制御の安全性向上のための根本的な解決策とは言えない。
  インターネットにおける経路情報は、BGPルータによってホップバイホップに伝播される情報であり、そこに含まれる情報の信憑性は伝播してきた経路情報だけでは確認することができないという性質がある。そこで、自ASの経路制御を正常に保つためにBGPルータにおいて、”経路フィルター”と呼ばれるフィルタリング機能が利用されることが一般的である。経路フィルターによって、本来AS内部のprefixが外部から伝播してくるなどの不適切な経路情報を取り入れず、正常な経路制御を継続することができるようになっている。一方、不適切かどうかわからないAS PathやOrigin AS番号の情報は、動的に変化するインターネット経路制御の性質上、BGPルータは受け入れざるを得ず、今回のような長いAS Pathについても多くのルータが受け入れていたと考えられる。
  インターネットにおける経路情報の登録システムであるIRR(Internet Routing Registry)は、インターネット経路制御のオペレーターが運用上、正しい運用状態である経路の情報を登録し、他のオペレーターと情報共有するために使われるものである。しかし例えば国内のIRRであるJPIRRでは、AS Pathの情報はほとんど登録されていない。今後、インターネット経路制御のセキュリティ向上にはまだ道のりがあるといえる。

3 Black HatにおけるBGPのMan-in-the-middle攻撃に関する発表

  Black Hatは、各種情報セキュリティ関連の攻撃手法や技術情報に関する発表やチュートリアルが行われるカンファレンスである。ワシントンDC、EU圏内、米国内、アジアで年間各一回ずつ行われており、この他にWindowsを主要テーマとしたカンファレンスが1年に一回開催されている。BGPにおけるMan-in-the-middle攻撃は米国のRenesys社のEarl Zmijewski氏によって、2009年2月18日~19日米国ワシントンDCで開催されたBlack Hat Briefingsの2日目に紹介された[2]
  氏の発表では、まずBGPを使ったインターネット経路制御の基本的な性質を説明した後、prefixとAS Pathを詐称して任意のASのIPのトラフィックを攻撃者のASに迂回させる手法について解説している。IPのトラフィックは攻撃者のASを経由するものの、接続性は維持されておりIPの通信を行っているユーザは経路が変更されていることに気づきにくい。この不正な経路の変更を見つけるためには正しい経路ポリシー(routing policy)を検出者が知っている必要があり、更に経路情報を監視して不正な経路情報があった場合にアラートする”BGP Alarming Service(BGP通知システム)”を注意深く使う必要がある。

  Earl Zmijewski氏の資料で紹介されているBGP通知システム
  • IAR (Internet Alert Registry)
  • PHAS (Prefix Hijack Alert System)
  • RIPE NCC MyASN Service
  • BGPmon
  • WatchMY.NET
  • Renesys Routing Intelligence
※日本国内では、後述するIRRを用いた経路ハイジャック通知実験が行われている。

 

  セキュアなインターネットの経路制御アーキテクチャについて検討を行っているIETF SIDR (Secure Inter-Domain Routing) WGでは、経路情報におけるOrigin ASとprefixの詐称対策に取り組んでいる。しかしBlack Hat Briefingsにおける発表の後、AS Path属性についても取り組む必要性がWGメンバーより挙げられた。しかしSIDR WGでは今のところOrigin ASとprefixについて先に取り組み、その後にAS Path属性について取り組むと位置づけている。

4 国内における対策技術の動向

  前節で述べたように、国際的には、インターネット経路制御におけるセキュリティのための調査やシステム開発が行われている。一方、日本国内では同様の活動の他に、BGPのネットワークの解析に関する研究や研究開発が行われている。本節では国内の動向を簡単に紹介する。

  • IRRを用いた経路ハイジャック通知実験
  •   社団法人日本ネットワークインフォメーションセンター(JPNIC)では、IRRに登録された情報とインターネットで伝播されている経路情報を比較し、経路ハイジャックだと疑われる場合に電子メールで通知する「経路ハイジャック情報通知実験」を行っている[3]。この実験は、Telecom-ISAC Japanによって開発された「経路奉行」を利用して2008年5月から行われている。しかし利用者の増加を図るなど、正式サービスに向けた課題がある。
  • 模倣インターネット
  •   模倣インターネットは、情報処理推進機構(NICT)、奈良先端大、北陸先端大の下で進められている技術研究[4]で、仮想的なクラスタ環境を構築するツールXENebula[5]を用いてAS間のネットワークをシミュレートしたものである。BGPの接続(ピア)が切断したときのインターネット経路制御の様子を観察することなどができる。実際のインターネットでは実験できないような、大規模な経路ハイジャックの影響などを調べるために活用できると考えられる。
  • 地理情報を用いたインターネットトポロジ解析
  •   米国の任意団体であるCAIDA[6] が提供しているトポロジ情報と、別途JPNICの公開情報などを利用して調査したASの地理情報(所在)を元に、アジア地域、ヨーロッパ地域、北米地域などの地域ごとのASの接続状態(トポロジ)を解析した学術研究である[7]。数多くのASとの接続を持つ「ハブAS」の存在が確認されており、経路ハイジャックの影響によってどの地域のASが影響を受けるのかなどを読み取ることができる。また、天災などの地域的な災害がインターネットの接続にどのような影響を及ぼすのかを推測するためにも役立つと考えられる。

5 考察

  インターネット経路制御は善意に基づくシステムであると言われている。しかしインターネットを使った多くのサービスは、その接続性に依存しており、ひとたび経路制御の脆弱性をつかれて利用不能状態に陥ると、その損害と影響範囲は計り知れない。インターネットは技術的にAutonomous(自律)システムの集合であるが、経済や産業を支えるインフラとして捉えるならば、インターネットの運用を支えるセキュリティ技術の開発は重要な課題であると考えられる。
  IPアドレスの不正利用のきっかけになりうるIPv4アドレスの在庫枯渇の時期は2011年と予測されている。その一方で、本稿で紹介したようにBGPにおけるセキュリティ向上は発展途上にある。今後も状況を把握し、適切に研究開発を進めていく必要がある。

以上

参考文献

[1]

“Long AS Path Incidentその後”, 吉田友哉, 白畑真, 2009年5月, 第20回 Inter-domain Routing Security ワークショップ(IRS20)

[2]

“Defending Against BGP Man-In-The-Middle Attacks”, Clint Hepner and Earl Zmijewski, February 2009, Black Hat DC 2009

[3]

“Telecom-ISAC Japan経路奉行とJPIRR間の連携実験について”,
http://www.nic.ad.jp/ja/ip/irr/jpirr_exp.html

[4]

“Experiences in emulating 10K AS topology with massive VM multiplexing“, Shinsuke Miwa and Mio Suzuki and Hiroaki Hazeyama and Satoshi Uda and Toshiyuki Miyachi and Youki Kadobayashi and Yoichi Shinoda, August 2009, Proceedings of The First ACM SIGCOMM Workshop on Virtualized Infrastructure Systems and Architectures(VISA 2009)

[5]

“XENebula”,
http://tbn.starbed.org/XENebula/

[6]

“CAIDA: The Cooperative Association for Internet Data Analysis”,
http://www.caida.org/home/

[7]

“地域レベルのASトポロジ構造を比較する”, 空閑 洋平(慶應義塾大学), 長 健二朗(IIJ), 中村 修(慶應義塾大学), 2008年6月, The Ninth Workshop on Internet Technology (WIT2008), 日本ソフトウェア科学会インターネットテクノロジ研究会

 

目次へ 次へ