コメントインターネット ルーティングに関するまた別の大きな失策により、インターネット エンジニアはネットワークの基礎層でのセキュリティ強化の必要性を強調するようになり、中国電信の行動に再び疑問の声が上がった。
6月6日、スイスのコロケーション会社Safe Hostからドイツ・フランクフルトのChina Telecomに7万件以上のBGPルートが漏洩し、China Telecomはそれを世界中のインターネット上で公表しました。その結果、ヨーロッパのChina Telecomシステムを経由してインターネットトラフィックが大規模に再ルーティングされ、ネットユーザーの接続が中断されました。ヨーロッパの携帯電話ネットワークに送られるべき大量のデータが、China Telecomが管理するネットワークに送られてしまったのです。
BGP リークは日常茶飯事で、毎日毎時間起きている。しかし今回のリークの規模、特に数秒や数分ではなく 2 時間続いたという事実から、ルーティング システムにセキュリティ チェックを追加する業界プログラムに ISP が参加するよう求める声が高まっている。
Safe HouseとピアリングしているChina Telecomが、ヨーロッパのネットユーザー向けのトラフィックを同社のネットワーク経由でルーティングし、再び問題の中心となったという事実も、インターネットエンジニアに疑念を抱かせている。ただし、彼らは証拠なしに非難することは避けてきた。
「大手国際通信事業者であるチャイナテレコムは、ルーティングリークの拡散を防ぐために必要な基本的なルーティング対策も、ルーティングリークが避けられない場合にタイムリーに検知・修復するために必要なプロセスと手順も、未だに導入していない」と、オラクル・インターネット・インテリジェンス(OII)のインターネット分析ディレクター、ダグ・マドリー氏は報告書の中で指摘している。「これほど大規模なルーティングリークが2時間も流通し続けるのは、あまりにも長く、世界中の通信に悪影響を及ぼしている。」
マドリー氏によるリークの要約は以下のとおりです。
昨年11月、マドリー氏は外交的な姿勢を示しつつも、最終的には「チャイナ・テレコムに関連する異常かつ組織的なハイジャックのパターン」を指摘した米海軍戦争大学の報告書を支持した。マドリー氏はこの報告書に対し、チャイナ・テレコムによるトラフィックの誤誘導を阻止するために「多大な努力を払ってきた」と述べた。
深刻化する問題
BGPリークの問題は近年深刻化しており、犯罪者や場合によっては国家機関が、インターネットトラフィックを盗み取る可能性を認識しています。盗み取ったトラフィックは、監視、妨害、窃盗など、様々な疑わしい目的に利用される可能性があります。あるケースでは、数百万ドル相当の仮想通貨が盗まれたとされています。
2017年に報告されたルーティングエラーの分析によると、報告された14,000件のインシデントのうち38%は、情報漏洩またはハイジャック(障害ではなく)によるものでした。インターネットは約60,000のネットワークが相互に連携し、ほぼ自律的に接続しているため、これらのインシデントのうち、単純なミスではなく、悪意のあるものや計画されたものがどれだけあるかを正確に把握することは不可能です。
注目すべきは、米国は依然として BGP エラーの最大の発生源であり、これは主に米国のネットワーク数の多さによるが、BGP リークが潜在的に疑わしいとフラグが立てられた場合、中国とロシアのオペレータとの継続的なつながりがあり、インターネットのインフラストラクチャで根本的な程度の操作が行われていることを強く示唆している。
安定的かつ信頼性の高いインターネットアクセスの必要性が高まる中、ルーティングテーブルの混乱は大きな問題となります。そしてもちろん、インターネットエンジニアは長年にわたり様々な修正策の導入を推進してきましたが、インターネットの自律性によって阻まれてきました。
主要な業界団体の一つであるMANRS(Mutually Agreed Norms for Routing Security)は、問題解決のための4つの主要な推奨事項を提示しています。2つは技術的なアプローチ、2つは文化的なアプローチです。2つの技術的なアプローチはフィルタリングとスプーフィング対策で、基本的には他のネットワーク事業者からのアナウンスメントをチェックし、正当なものかどうかを確認し、そうでないものを削除します。もう1つの文化的なアプローチは、コーディネーションとグローバル検証です。これらは事業者同士が積極的にコミュニケーションを取り、疑わしいBGPの変更をフラグ付けして削除するよう協力を促すものです。
骨の折れる
インターネット業界はこのアプローチを徐々に導入しており、2018年のインシデント数は2017年と比較して10%減少し、ルーティングエラーの原因となったネットワーク数も大幅に減少(17%)しました。しかし、それでもまだ十分ではなく、ドメインネームシステムと同様に、エンジニアたちはネットワーク全体のセキュリティ強化の必要性を強調しています。
もちろん、インターネットのインフラストラクチャに関するすべてのことと同様に、問題は、既存のシステムに新しいチェックを追加することにはコストがかかり、そのコストは投資する人々にほとんど直接的な利益をもたらさないことです。
BGPリークの皮肉な点の一つは、ミスを犯したネットワークではなく、そのネットワークに接続するネットワークが影響を受ける傾向があることです。また、どのネットワーク事業者が適切な対応をしているのか、そうでないのかを明確に把握する方法がないため、適切な対応をするための経済的な動機がほとんどありません。
BGPを再び偉大なものに、いや、初めて: NISTがインターネットルートセキュリティの構想を支持
続きを読む
MANRS は、一部のネットワーク オペレータがオンラインでより強力なセキュリティを提供していることを示す方法を考案して、ユーザーがセキュリティが高いと認識した上で他の会社ではなく特定の会社に登録するという消費者の選択を促すことを望んでいますが、実際にはそれはまだ夢物語です。
しかし、業界ではこの問題への注目が高まっており、同規模の他のほぼすべての企業がフィルタリングやスプーフィング対策を実施しているにもかかわらず、中国電信のような大企業がいまだにフィルタリングやスプーフィング対策を実施していないことは注目に値する。
国家主体が自国システムを経由して送信されるインターネット トラフィックにアクセスできることには、実際の利点があります。米国政府が世界のインターネット バックボーンに接続できるようにするために多大な努力を払った NSA に聞いてみてください。その努力は、最終的にエドワード スノーデンによって暴露されました。
現在、中国とロシア、そしてほぼ間違いなく米国、そして時折ブラジルとイランも、オンライン監視活動において、グローバルネットワークの曖昧さを頼りに、もっともらしい否認の根拠を得ている。しかし、より多くの事業者がセキュリティ対策を導入するにつれて、異常な事件はより目立つようになるだろう。
今月発生したBGP漏洩は単純なミスだった可能性が高いものの、中国電信はそれを最大限に活用したようだ。そして、この事態を受け、インターネットエンジニアたちは、この重要なインターネット基盤インフラにおいて、より強固なセキュリティ対策を講じるよう、同僚たちに改めて強く求めるようになった。®
