インターネットを誤った経路情報から守るための
情報提供システムの試験運用開始について

JPNICとJPNIC会員であるインターネットマルチフィード株式会社(MF社)は、誤ったIPアドレスとAS番号の情報(経路情報)の発見に有用な情報提供システム(ROAパブリックキャッシュサーバ^*1)の試験提供を本日からそれぞれ開始することについて、 BGPオペレータに向けたリリース(国内初「RPKI ROAパブリックキャッシュ情報の配信」の試験提供について^*2)を行いました。このシステムにより、 ISPにあるネットワーク機器(BGPルータ)などが、経路の妥当性を確認できるようになり、インターネットの信頼性の向上に貢献できることとなります。

*1 BGP (Border Gateway Protocol)を使ったインターネットの経路制御では、「IPアドレス」と「インターネット上のネットワークを識別する番号(Autonomous System Number: AS番号)」が情報交換されます。このIPアドレスとAS番号の正しい組み合わせは「Route Origin Authorization (ROA)」と呼ばれ、このデータを生成するには「リソースPKI (RPKI)」という仕組みを使います。今回の情報提供システムは、このIPアドレスとAS番号の正しい組み合わせ情報を配信する、パブリックな(＝どなたでも利用できる)キャッシュサーバです。詳細は、リソースPKIもご覧ください。

*2 https://www.nic.ad.jp/ja/pressrelease/2014/20141001-01.html

インターネットは、自律・分散・協調を根幹に、 ISPなどのネットワークが相互に接続され、各々の経路情報を交換することで実現し、電子メールの配送、 Webサイトやソーシャルネットワークの提供などを支えています。しかしながら経路情報は、相互信頼の考え方で交換されており、故意のみならず、 BGPルータの設定ミス等による誤った経路情報も交換されてしまうことがあります。そのため、特定のネットワークに到達しなくなったり、大規模な盗聴行為につながったりする恐れがあります。こうした事象はこれまでにも多く観測されており、代表的な事例としては、2008年2月、大手動画サイトの誤った経路情報がインターネットへ広まったことで2時間に渡ってアクセスできなくなったことが知られています。

従来、BGPルータにおける経路情報は、ネットワーク運用者自身が手動で受け入れるべきかどうかを識別していたため、日々変化する経路情報の妥当性の確認は困難だと言われてきました。しかし、今回JPNICとMF社がそれぞれ提供するROAパブリックキャッシュサーバを利用することで、 BGPルータにおいて誤った経路情報を自動で判別することが可能となるだけではなく、従来、 BGPルータとの連携には専用のソフトウェアが必要されていたものが、このROAを蓄積したパブリックなキャッシュサーバを利用することで、 BGPルータを設定するだけで手軽に試験を行うことが可能となりました。

これまでJPNICは、 ROAを利用するための根本の仕組みである「リソースPKI (RPKI)」について、 MF社をはじめ多くのISP事業者の方と技術調査を行ってきました。そしてこの度、MF社と共に、日本で初めてROAパブリックキャッシュサーバを提供することとなりました。今回のROAパブリックキャッシュサーバの提供開始を受けて、今後、国内の他のISP事業者でもROAとRPKIを利用した経路制御の導入が進めば、誤った経路情報からインターネットをより強固に守ることができるようになります。

JPNICは、今後、このROAパブリックキャッシュサーバの安定運用に取り組み、 BGPルータとROAキャッシュサーバの連携試験の更なる活性化とROAキャッシュサーバを提供する事業者の増加を期待します。この運用や試験にご興味のある方は、下記のWebを参考にご活用ください。詳細な内容につきましては、 ROAパブリックキャッシュサーバに関するお問い合わせ窓口までご連絡ください。