ニュースレターNo.57/2014年8月発行
IRR・RPKI動向調査専門家チーム
調査報告書を公開しました
JPNICでは、IRR(Internet Routing Registry)サービスとして“JPIRR”を運用するなど、インターネットルーティングに関する活動を行っています。その一環として、ルーティングセキュリティに関する取り組みの強化を目指し、「IRR・RPKI動向調査専門家チーム」を2013年1月に組成し、検討を行ってきました。その成果をまとめた報告書が、2014年3月7日にJPNICのWebにて公開されましたが、本稿では報告書の簡単なご紹介と、専門家チームを組成して検討を行うに至った経緯をご説明します。
Mis-Originationの低減に向けて〜IRR・RPKI動向調査専門家チーム調査報告書公開〜
2013年度のインターネットルーティング事情を振り返りますと、引き続き“Mis-Origination”と予想されるネットワークの到達性をおびやかす事例や、何らかの目的を持った経路ハイジャックなど複数の事例が観測されました。“Mis-Origination”とは、脅威であるIPアドレスやASの乗っ取りについて、悪意を持ってではなく、日常のオペレーションに付随して発生する設定ミスなどが原因で起こってしまう状況です。
特に注目すべき事例としては、2013年1月に発生した、BGPルーティングを対象とした中間者攻撃(Man-in-the-Middle attack)と予想される事例や、組織内の特定の経路情報をねじ曲げていることが露呈された事例などが挙げられ、過去の事例よりも悪質度合いが高いと見られる脅威が複数発生したことが、特徴的であったと言われています。
このような脅威が発生することを予想していたわけではありませんが、JPNICでは、2013年度の上期にIRR・RPKI動向調査専門家チームを組成し、活動を行いました。このことについては、2013年3月に発行したJPNIC News & Viewsでもご報告しています。
そして本チームでは、インターネット上の経路情報をデータベースに蓄積することにより、インターネットルーティングへの脅威を緩和するために役立たせることができるIRR(Internet Routing Registry)と、根本対策につながると言われるリソースPKI(RPKI; Resource Public Key Infrastructure)※1について、現状の分析と将来への提言を取りまとめました。
IRR・RPKI動向調査専門家チーム調査報告書ができるまで〜RPKIの有効性〜
報告書の作成にあたり、具体的には、現在の脅威の発生事例を収集し、脅威の過去事例を一つ一つ分析することから始めました。Mis-Originationや経路ハイジャックの発生は、BGPの特性上局所的に影響することから、事例の収集は世界で行われている経路情報収集サイトや、インターネットルーティングに関するブログなどから情報を集めました。
収集を始めてみると、例えば、簡単な経路フィルタが適用されていれば防ぐことができたはずの事例が多く発生しており、経路フィルタの適用は経路ハイジャックなどの脅威を防ぐ基本設定として、あらためて重要なことであることが再認識されました。
しかしながら、いくつかの事例では、経路フィルタの適用が現実的ではない箇所が原因となっていることがわかりました。
このような事例について、今活用できる手段として“IRR”が存在しています。
IRRは、インターネットルーティングが始まった黎明期から存在するIPアドレスとAS番号を結びつけるデータベースであり、世界で約40個のデータベースが稼動中です。IRRはインターネットルーティングに参加する運用者が、自らがルーティングする経路情報を自発的に登録する性善説のデータベースとなっており、良くも悪くも、緩く運用されながらインターネットルーティングを支えるデータベースとして知られています。
しかし繰り返しになりますが、IRRは性善説を元にしたデータベースです。最近になって、インターネットルーティングのセキュリティを維持するためには番号資源を管理するデータベースと結びつけ、強固に管理する手法が提唱されてきており、この技術を“RPKI(リソースPKI)”と呼びます。
RPKIは、10年ほど前からIETFで議論されているセキュリティ技術で、2012年ごろからルータへの実装やオープンソースソフトウェアでの実装が簡単に利用できる状態となりました。
専門家チームの活動では、RPKIの現状とそれをどのように活用するか?などを検討し、将来動向として取りまとめました。また、最前線の技術者である専門家チームメンバーの要望もあり、実際にRPKIに触っていただく機会を設けたりなど、RPKIを実際に触って議論する、より実際に即した内容となっています。
(JPNIC 技術部 岡田雅之)
- ※1 リソースPKI
- IPアドレスやAS番号といった、アドレス資源の割り振りや割り当てを証明するためのPKI(Public-Key Infrastructure:公開鍵基盤)です。