IPv6 ホーム ネットワーク内の 1 つのデバイスにより、そのネットワーク上のすべてのコンピューター、ハンドヘルド デバイス、その他のガジェットのプライバシーが侵害され、IPv6 プライバシー保護を備えたデバイスであっても、インターネット上のすべてのデバイスを追跡できるようになります。
「One Bad Apple Can Spoil Your IPv6 Privacy」と題された研究論文の中で、ドイツのザールラント大学マックス・プランク情報科学研究所のサイード・ジャワド・サイディ氏、同じくMPI-INFのオリバー・ガッサー氏、オランダのデルフト工科大学のゲオルギオス・スマラグダキス氏は、レガシー IPv6 アドレス指定規格 EUI-64 (Extended Unique Identifier) をたった 1 台のデバイスが使用すると、そのネットワーク上のすべてのデバイスのプライバシーが潜在的に低下する可能性があると述べています。
彼らの論文は来月、ACM SIGCOMM Computer Communication Review、第52巻、第2号に掲載される予定です。
IPv6は、1981年にDARPAから生まれたインターネットアドレスプロトコルであるIPv4の後継として、1998年に導入されました。IPv6は現在も展開が続いており、Google.comに接続しているユーザーの約38%が現在IPv6接続を利用しています。しかし、IPv4アドレスが不足する中で、新しいデバイスをインターネットに接続できるようにするには、IPv6が不可欠です。
ISPやルーターなどによって異なりますが、自宅のネットワークでは、ノートパソコン、スマートフォン、その他のデバイスがそれぞれ独自のローカルIPv6アドレスを持ち、ウェブサイトやその他のオンラインサービスに接続する際にはパブリックIPv6アドレスが割り当てられている場合があります。これらのアドレスは定期的に新しいアドレスに交換される必要があります。そうすることで、今日ウェブサイトにアクセスし、翌日再びアクセスした場合でも、ウェブサイト側はIPv6アドレスだけではデバイスが戻ってきたことを認識できず、ある程度のプライバシーが確保されます。この調査によると、ネットワーク上にEUI-64対応のデバイスが存在する場合、このプライバシーは失われます。
この論文によると、IPv6はクライアントアドレスの割り当てにDHCPv6またはステートレスアドレス自動構成(SLAAC)のいずれかを利用しています。SLAACでは、ルータがプレフィックス(いわばアドレス内のネットワーク識別子)をクライアントに送信し、クライアントはそのプレフィックス内のIPv6アドレス(アドレスのホスト部分、またはインターフェース識別子(IID)と呼ばれる)を選択します。
IIDはかつて、デバイスのハードウェアMACアドレスをエンコードしたEUI-64 [PDF] に基づいていました。しかしその後、EUI-64はネットワーク層でハードウェア識別子を公開するため、プライバシーに有害であることが明らかになりました。
2007年には、アドレスのホスト部分をランダム化するIPv6プライバシー拡張が提案されました。そしてISPは、プライバシー保護の強化として、IPv6アドレスのプレフィックスをローテーションさせるようになりました。
残念なことに、一部のハードウェア メーカー (主に IoT ベンダー) はこのメモを見逃し、依然として EUI-64 を使用してデバイスの IID を生成しています。
- Microsoft Azure DevOpsがTLS 1.0/1.1をロールバックで復活
- Nominet、ロシアの.UKドメイン登録業者を1桁停止
- ネットワークオペレーティングシステム「Dent 2.0」は中小企業をターゲットに
- IPv6はより良いものを目指して構築されているが、それが成功への道ではない
論文の著者らが発見したのは、EUI-64を使用するデバイスが1台あるだけで、ネットワーク上のすべてのデバイスのプライバシーが侵害されるということです。大手ISPの全エンドユーザープレフィックスの約5分の1(19%)がこのプライバシー漏洩の影響を受けており、さらにそれよりわずかに少ない割合(17%)が大手インターネット企業やハイパースケーラーによって監視されているとされています。
「大手ISPからの受動的なデータを分析した結果、エンドユーザーの約19%のプライバシーが危険にさらされている可能性があることがわかりました」と、著者らは論文の中で述べています。「根本原因を調査すると、自宅にあるMACアドレスをIPv6アドレスにエンコードするデバイス1台が、エンドユーザーのプレフィックス全体の追跡識別子として利用される可能性があることがわかりました。たとえ他のデバイスがIPv6プライバシー拡張機能を使用していたとしてもです。」
この論文では、IPv6プライバシー拡張を使用するラップトップとEUI-64を使用するスマートテレビという2つのデバイスを例に挙げています。どちらのデバイスも、上流にIPv6接続を備え、SLAACが使用されているホームネットワークゲートウェイルーターを使用しています。以下の図は、このシナリオを説明するために、論文から引用したものです。
プライバシー漏洩を説明する論文からの図…クレジット: Saidi et al
初日、テレビとノートパソコンには同じエンドユーザープレフィックス(2001:db80:1111:b000)が割り当てられ、その後、それぞれ独自のホスト部が割り当てられて、パブリックIPv6アドレスが形成されます。翌日には、別のプレフィックス(2001:db80:3333:fff1)が生成されますが、EUI-64ベースのテレビには同じホスト部が割り当てられ、ノートパソコンには新しいホスト部が割り当てられます。ノートパソコンには全く新しいIPv6アドレスが割り当てられますが、テレビには新しいプレフィックスのみが割り当てられます。
テレビとノートパソコンが初日にCDNやインターネット大手と通信し、2日目に再びそれらのプロバイダーと通信すると、これらの大手ネットワークの1つ、あるいは複数が、テレビの変更されていないホスト部分(8e8f:90ff:fe12:3456)と新しいプレフィックスからノートパソコンの最新のIPv6アドレスを以前のアドレスに紐付けることができます。こうしてノートパソコンを追跡することができ、テレビのホスト部分が事実上追跡IDとなります。
この方法は、テレビとノートパソコンの両方が同じクラウドまたはCDNプロバイダー(Google、Meta、Netflix、DNSプロバイダーなど)にアクセスし、それらのバックエンドがユーザーのIPv6アドレスを照合してその情報を何らかの用途に使用する場合にのみ機能します。ただし、このメカニズムが存在する可能性は低いでしょう。上の図では、CPEは顧客構内設備、つまりブロードバンドゲートウェイボックスを指します。これがネットワーク上のデバイスと同じエンドユーザープレフィックスを持たない場合、この方法では追跡できません。
「スマートテレビはプライバシー拡張機能を使用していないため、CDNやインターネット上の他の大手プレーヤーは、スマートテレビ自体だけでなく、そのエンドユーザープレフィックス内のすべてのデバイスを追跡できる」と論文は付け加えた。
MACアドレスは、IPv6アドレスのEUI-64部分から抽出し、MACアドレスの組織固有識別子(OUI)部分を介してデバイスのメーカーを特定するために使用できます。EUI-64を使用していないデバイスは、共通のIIDを使用して追跡できるにもかかわらず、この方法では識別できません。
専門家によると、EUI-64デバイスをホストするネットワークプレフィックスの約39%はIoTデバイスのみを製造する企業に該当し、約32%はIoT、コンピューター、モバイルハードウェアなど、様々なデバイスを製造する企業に該当します。
この2番目のカテゴリーでは、Appleは自社製品でプライバシー拡張機能をデフォルトで有効にしているが、他のベンダーはそうしていないと論文の著者らは指摘している。
「残念ながら、本稿執筆時点では、多くのLinuxディストリビューションはプライバシー拡張機能をデフォルトで有効化していない」と論文は述べている。「ソフトウェアにLinux派生製品を使用している製品は、ユーザーのプライバシーを無意識のうちに危険にさらしている可能性が高い。」
著者らは、これは元のプライバシー拡張機能の仕様ではデフォルトで無効にすることが推奨されていたが、現在の標準ではそうではなくなったためではないかと推測しています。
また、規制当局に対しては、ベンダーが自社製品を IPv6 プライバシー準拠で認証すること、ISP がゲートウェイ ルーターを顧客に出荷する前にプライバシーの問題がないかチェックすることを義務付けるよう求めています。®
