Benchmarks Brawte nfaq 0 Comments

OK Google、アフリカのISPであるMain Oneとは何ですか?また、どのようにしてトラフィックをロシア経由で中国にルーティングしたのですか?

Table of Contents

OK Google、アフリカのISPであるMain Oneとは何ですか?また、どのようにしてトラフィックをロシア経由で中国にルーティングしたのですか?

月曜日に更新されたグーグルのクラウドとウェブサイトの長期にわたる停止は、西アフリカの通信会社によるネットワーク更新の失敗が原因であると主張されている。

ナイジェリアのラゴスに拠点を置き、ポルトガルと南アフリカ間の海底ケーブルを運営する企業向けインターネットサービスプロバイダのメインワンは、自社側の設定ミスにより、グーグル向けのトラフィックが74分間にわたり中国電信にリダイレクトされたと発表した。

その間、Google、YouTubeなど、あるいはSpotifyやNestなどGoogle Cloud上のサイトやプラットフォームに接続しようとしたウェブブラウザやアプリは、ロシアのISP TransTelekom経由で中国の通信会社にルーティングされ、ブラックホールに落とされました。

この失態は、メインワンがインターネットのレイアウトの一部の詳細情報を別の構成に漏洩させ、一時的にネットの脊髄を書き換えたことで起こりました。Googleに向かうパケットは、地球を一周する経路を通って送信されました。

Main OneはGoogleとピアリングポイントを介してトラフィックを交換することで合意しています。簡単に言うと、ISPが誤って自社のルート情報をGoogleのネットワークに漏らし、その結果、他のISPが経路を調整し、Google行きのトラフィックがChina Telecomに向かうようになってしまったのです。

「MainOneはラゴスのIXPN経由でGoogleとピアリング関係にあり、Googleへの直接ルートを保有していましたが、そのルートがChina Telecomに漏洩しました」と、クラウド監視企業ThousandEyesのAmeet Naik氏は本日説明しました。漏洩したルートはChina TelecomからTransTelecomを経由してNTTやその他のトランジットISPに伝播しました。また、この漏洩は主にビジネスグレードのトランジットプロバイダによって伝播され、一般消費者向けISPネットワークにはそれほど影響を与えていないことも確認しました。

この結果、米国、そしておそらくはその他の地域への膨大なインターネットトラフィックが、中国電信のネットワークに底なしの穴を掘る事態となり、多くのネットユーザーの目にこの広告大手は事実上オフラインに追いやられたように見えました。この流出中にデータが傍受されたり、第三者に渡されたりした事実はないとされています。以下は、Main Oneが告白した内容です。

上流パートナーの1社を通じて@Googleプレフィックスの広告が行われた件について調査を行いました。これは、計画されていたネットワークアップグレード中に発生したエラーであり、BGPフィルタの設定ミスが原因でした。このエラーは74分以内に修正され、再発防止策が実施されました。

— MainOne (@Mainoneservice) 2018年11月13日

グーグルはまた、この事件によって自社のサーバーやデータは影響を受けていないとも述べた。

「IPアドレスのルーティングミスにより、インターネットトラフィックの一部が影響を受け、一部のGoogleサービスへのアクセスに影響があったことを認識しています」と、チョコレートファクトリーの広報担当者はEl Regに語った。「この問題の根本原因はGoogleの外部にあり、Googleサービスへの侵害はありませんでした。」

bgp

OK Google、今日、なぜウェブトラフィックがハイジャックされ、中国やロシアを経由したのですか?

続きを読む

この情報開示によって、少なくとも、今回の障害が何らかの攻撃やその他の不正行為によるものであるという懸念は和らぐだろう。同時に、地域的なISPがサーバーの設定を誤っているといった単純なことが、世界的な障害を引き起こす可能性があるという事実も、必ずしも好ましいとは言えない。

「今回の事件は、インターネットという構造における根本的な弱点の一つを改めて浮き彫りにしています」とナイク氏は述べた。「BGPは、善意のISPと、受け取った情報を盲目的に信じる大学との間の信頼関係を築くために設計されました。しかし、今日のISPと国家の間に存在する複雑な商業的・地政学的関係を反映するような進化を遂げてきませんでした。ROA(Route Origin Authorization)のような検証方法は存在しますが、それを使用しているISPはごくわずかです。膨大なリソースを保有するGoogleのような企業でさえ、このようなBGP漏洩や悪意のあるハイジャックから逃れることはできません。」

NSA顧問で元ホワイトハウスのサイバーセキュリティ責任者であるロブ・ジョイス氏が指摘したように、この事件はBGPシステムの状態を再評価するきっかけとなるはずだ。

「中国経由のトラフィック再ルーティングという今回の大失態が、今日のBGPルーティングアーキテクチャに内在する重大かつ容認できない脆弱性への対処に真剣に取り組むよう、私たち全員に警鐘を鳴らすものとなることを願っている」とジョイス氏は火曜日に述べた。®

追加更新

CloudflareはBGPの失敗に関するより技術的な情報を提供しており、ルートフィルタリングによって不正な更新を除外することが可能だと示唆しています。しかし残念なことに、中国電信傘下のCN2キャリアは、Main Oneによるインターネット経路の変更について一切の妥当性チェックを行っていなかったため、今週の失敗につながりました。

また、中間システムがGoogleへのトラフィック量に耐えられていれば、サイトやクラウド接続がダウンすることはなかったでしょう。結局、突然Googleのトラフィックがルーティングされていたマシンがダウンし、多くのネットユーザーにとってGoogleもダウンする結果となりました。

Benchmarks

Smart Recommendations

Discover More