Internet Week 2014 セキュリティセッション紹介第10回「変化を乗り越える！インターネットルーティングセキュリティ」について松本智氏と岡田雅之氏が語る

11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2014 ～あらためて“みんなの”インターネットを考えよう～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2014
https://internetweek.jp/
今回のテーマは「あらためて“みんなの”インターネットを考えよう」。Internet Weekの実行委員長は「2014年は上半期から、UDPを用いた大規模なDDoS、OpenSSL Heartbleed問題、DNS毒入れ問題などが続き、また、いわゆるフィッシングやスマートフォン向けアプリを仲介した詐欺が横行、企業による大規模な個人情報流出もあり、『セキュリティ』や『プライバシー』に関連する事象が多数発生した」と述べている。技術的な解決方法は存在していても、対応が後手にまわったり、対応しなければならないインシデントは山積みになっているのが現状だ。こうした事態を踏まえ、Internet Weekではいつもに増してセキュリティ関連セッションを増やし、また、対応についても皆で考え、より良い未来を作りたいと考えている。

本連載では、このInternet Week 2014のセッションのうち、情報セキュリティに関する注目のセッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

10回目となる今回は、2日目の11月19日(水)に行われるプログラム「変化を乗り越える！インターネットルーティングセキュリティ」について、株式会社インターネットイニシアティブの松本智氏と日本ネットワークインフォメーションセンターの岡田雅之氏に語っていただいた。

--

Q: タイトルに「変化を乗り越える！」とありますが、インターネットのルーティングやそのセキュリティにどのような変化があるのでしょうか。

岡田：今までも相手を困らせることを目的とした経路ハイジャックが発生し、インターネットのルーティングが脅かされことが幾度とありました。しかし昨今では目的も変わりつつあり、何か悪いことをするために経路ハイジャックが行われる事例が増えてきました。具体的には Bitcoin を横取りするためにとか、スパムメールの送信のために乗っ取るなど、インターネットに詳しくない一般の方々もインシデントの被害者になる事件もたびたび発生しています。また運用の現場では、以前より危惧されていた「経路爆発」が現実に発生するなど、インターネットオペレーターは日々、多くの問題に直面しています。それが「変化を乗り越える！」の意味ですね。

Q: 簡単に乗っ取れるものなのでしょうか？

松本：まずインターネットではどうルーティングされているのか、のおさらいをさせてください。

インターネットのあて先の情報は、BGP というプロトコルを使って、ISP や企業などが「自組織に転送して欲しいIPアドレスのリストを、接続する隣接組織に宣言する」ことで日々最新の情報に更新され続けていることは皆さまご存じかと思います。

BGP の世界では、ISP や企業等のルーティングの単位を Autonomous System（AS）と呼び、AS はインターネット全体でユニークな AS 番号で識別されています。BGP では AS と IP アドレスの組み合わせを「経路情報」として交換することでパケットの送受信を支えています。インターネットの黎明期からこれまで、自律・分散・協調のもと、相互信頼の考え方で経路情報を取り扱ってきました。

しかし、相互信頼を前提としているため、相手から受け取った経路情報は基本的に信頼するということになります。設定ミスや何らかの悪意により、誤った経路情報が発せられ、受け取ったASがその情報に基づきパケットを転送してしまうことで、インターネットの経路制御が脅かされる事例は定期的に発生しています。代表的な事例としては2008年に大規模動画サイトが経路情報ののっとりに会い、世界中で2時間程度閲覧できなくなってしまった事例などが知られています。

相互信頼の考え方は、経路情報の正当性を裏づけるシステムが必要ないため、インターネット運用を簡易にすることができ、今までのインターネットの普及に大きなメリットをもたらしてきました。しかし、インターネットが社会のあらゆる場面において活用される現在、経路情報を守るための仕組みの需要の高まりが見え始めています。

また一方で、大量のトラフィックを送りつけることによってパケット送受信を阻害する行為など、インターネットルーティングを脅かす脅威が注目されています。

このプログラムでは、最近のインターネットルーティングセキュリティの脅威やその対策の現状を2時間半で理解いただけるプログラムにしようと考えました。

Q: 昨年までもルーティングのセッションは開かれていました。それらとの違いは何でしょうか？

岡田：今までは経路ハイジャックが起きたらどうなるか、それを皆で考え、備えましょうという点に焦点を当てたプログラム開催してきました。その結果、参照できる資料も増えインターネットの運用者への理解も広まってきたと実感しています。また最近では、途中経路のパケットがのぞき見される危険性も高まってきており、通信の信頼性をどう担保するのか、というテーマが注目されつつあります。

そこで更に一歩踏み込んで、事例を紹介し解説すると共に、そこに潜む「途中経路の問題」等、今まで触れたことになかった問題についても今年から触れていこうと考えています。具体的には、VPN のセキュリティについて、中国のグレートファイアウォールと VPN との関係を、話題の「監視」の観点から提供することとなりました。ここでは、特にある一国のファイアウォールの問題と捉えず、インターネットのトランジットや途中経路など自分たちでコントロールできない箇所で行われる通信で、意図しない制御を受ける恐れがあるといった、気づきのセッションにしたいと考えています

最後に今年は「 RPKI (リソース PKI )元年」ですから、ルーティングに PKI の仕組みを導入する国際的なセキュリティの仕組みのお話をする予定です。

Q:このプログラムのテーマと今年のテーマ：「あらためて“みんなの”インターネットを考えよう」はどのように関わりますか？

松本：インターネットルーティングセキュリティの観点では、今年のテーマである「あらためて」と「みんなの」によくマッチするメインテーマは「リソース PKI」ですね。

最近日本地域でも実験が始まりました。リソース PKI を活用したルーティングが「BGP ルーティングをどうセキュアにしてゆくのか？」というテーマを、あらためて世界のルーティング技術者に問いかけるきっかけとなればと思います。その上でみんなで上手に活用していかないと、あまり効果がでないものですので、ルーティングセキュリティを今まさに、あらためて、みんなで考えていっていきたいと思います。

Q: 最後にこのプログラムをどのような方に聴いていただきたいですか？

松本：これまでの説明で、ルーティング技術者の方には興味を持っていただけると思っています。さらにインターネットが動く仕組みを理解したい技術者やネットワークに関係するフィールドで活動されている多くの方に参加していただき、インターネットの基本を守る技術とインターネットそのものに振りかかる脅威の現状について持ち帰っていただきたいと考えています。ルーティング技術者の生の声を聞きにご参加をお待ちしております。

●プログラム詳細

「S10 変化を乗り越える！インターネットルーティングセキュリティ」

- 開催日時:2014年11月19日(水) 13:15～15:45
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/s10/

13:15～13:30
1) インターネットルーティングセキュリティプログラム開始にあたって
松本智(株式会社インターネットイニシアティブ )

13:30～14:00
2) インターネットルーティングセキュリティ事例紹介と対策
岡田雅之(一般社団法人日本ネットワークインフォメーションセンター)

14:00～14:20
3) インターネットルーティングセキュリティのマインド
松崎吉伸(株式会社インターネットイニシアティブ)

14:25～14:50
4) VPN Gate および中国の検閲用ファイアウォールについて
登大遊(ソフトイーサ株式会社/筑波大学大学院システム情報工学研究科)

14:50～15:35
5) 2014年のインターネットルーティングの動向と取り組み
吉田友哉(インターネットマルチフィード株式会社)

※特典:このセッションに申し込まれた方には、「Scan Tech Report (年間購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼントがあります。
※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。