更新:今週インターネットシステムコンソーシアム(ISC)が発表したレポートによると、Cloudflare が公開したソフトウェアのバグにより、ウェブのインフラストラクチャの中核で障害が発生した。
ISC は、A から M までラベルが付けられた世界 13 のルート DNS サーバーのうちの 1 つである、いわゆる F ルート サーバーを運営しています。これらは、グローバル インターネットの基盤となる中央コンピュータであり、たとえば、theregister.com にアクセスしたときに、当社のホームページを提供する正しいシステムに誘導されることを保証します。
今年1月23日、ISCは.netドメインの障害に関する報告を受けました。調査の結果、.netドメイン名とIPv4およびIPv6ネットワークアドレスを関連付ける重要なAレコードとAAAAレコードが欠落していることが判明しました。
つまり、1,340万のドメイン名を擁するインターネット最大級のレジストリであるISCのFルートマシンから、.netで終わるすべてのインターネットアドレスが消え去ったのです。Fルートマシンを介してウェブサイトやサービスに接続していたブラウザ、アプリ、コンピューター、デバイスは、最悪の場合、.netアドレス経由でこれらのシステムにアクセスできなくなっていたでしょう。
この問題は ISC の F ルートだけに限定されたものではなく、レポート [PDF] によれば、NASA が運営する E ルートでも同様の問題が発生したとのことです。
バグ修正
ISCは、タイムラインによると5分以内に、問題がCloudflareと提携して運営するインターネットノードにあることを迅速に把握し、ウェブインフラ事業部にエスカレーションしました。Cloudflareも迅速に対応し、21分以内に、4時間前に発生したバグを修正するために設計された特定のコードリリースが原因であると特定しました。
ここで、レポートはBGPの脆弱な世界へと大きく舵を切ります。BGPとは、インターネットの広大なネットワーク群が相互に自動的に連携し、相互接続を維持するために使用するボーダーゲートウェイプロトコルです。BGPがDNSルートゾーンの問題にどのように関与しているかは明確ではなく、Cloudflareに詳細な説明を求めました。
いずれにせよ、問題を引き起こしていたBGPアナウンスの撤回には2時間近くかかり、ISCはもっと早く対応すべきだったと指摘しています。「振り返ってみると、不完全または不正確なデータが提供されていることが判明した時点で、BGPからルートプレフィックスの撤回を開始すべきでした」と報告書は「教訓」の項で述べています。
声明は次のように続けている。「ルートの撤回は予想ほどスムーズには進まなかったため、CloudflareとISCはその機能を動作させるために定期的なテストを実施することに合意しました。テストスイートは、不足しているグルーのテストを含めるように更新されており、ISCとCloudflareはさらなる適合テストを考案するために協力していきます。」
お金はやってくる、安定はさようなら
世界のDNSの仕組み、つまりネームサーバー、冗長性確保、キャッシュといった分散階層構造を通じて情報が階層的に伝達され、数時間から数秒ごとにグローバルに更新される仕組みのおかげで、ネットユーザーへの影響は極めて最小限に抑えられました。EルートとFルートが一時的に機能不全に陥っていたため、ブラウザやアプリは.netアドレスを検索する別の方法を見つけていたはずです。
しかし、状況が深刻なのは、ある民間組織による小さなソフトウェア更新によって、公共インターネットのグローバル アドレス システムの基本的な基盤が破壊されたことが大きな原因です。
Firefoxは現在、米国のネットユーザー向けにDNS over HTTPSをデフォルトに設定しており、これに不満を抱く人もいる。
続きを読む
オープンソースソフトウェアとクローズドソフトウェアを併用する商用組織であるCloudflareが実施したソフトウェアアップデート。インターネットは、オープンソースソフトウェアの伝統、綿密にチェック・テストされたアップデート、そして商業的な配慮とは切り離された保守組織のおかげで、数十年にわたる急速な成長にもかかわらず、驚異的な稼働率を達成してきました。
ベテランインターネットエンジニアのビル・ウッドコック氏はTwitterでこう指摘した。「公共インターネットの重要な機能が私的利益のために利用されたらどうなるでしょうか?透明性と説明責任は失われ、インフラ支出は削減され、あらゆるものが機能不全に陥ります。」
この問題は学術的な問題ではありません。ウッドコック氏は最近、.orgドメインの無名のプライベートエクイティ会社への売却提案について警鐘を鳴らしました。同氏の会社はインターネットレジストリの技術バックエンドサービスを提供しています。買収提案者の営利目的を考慮すると、技術支出が大幅に削減され、重要なレジストリの安定性が危険にさらされる可能性が高いとウッドコック氏は結論付けました。彼はDNS監督機関であるICANNにこの件に関する書簡を送り、売却提案を中止するよう勧告しました。
懸念を抱いているのはインターネットエンジニアだけではありません。オープンソースDNSソフトウェアを開発する会社のバート・ヒューバート氏は、ISCの報告書について、「クローズドソースのCloudflareソフトウェアにバグがあり、それが米国の大手ケーブルアクセスプロバイダーでクローズドソースのAkamaiのサービスに障害を引き起こした」と指摘しました。
ブレークポイント
ヒューバート氏は最近、Firefox がセキュア DNS である DoH プロトコルのデフォルト プロバイダーとして Cloudflare を使用するのではないかという懸念を声高に表明していたが、今朝、米国のすべての Firefox ユーザーにそれが起きた。
クローズドなCloudflareソフトウェアのバグによってルートサーバーがインターネットの重要な部分を丸ごと消失させてしまう可能性があるのであれば、いずれ同様の問題によってFirefoxユーザーが安全なDNS接続を失う可能性は十分にあり得ます。実際、その可能性は高いと言えるでしょう。そうなれば、インターネット接続自体が利用できなくなる可能性もあります(接続は維持されますが、ほとんどのユーザーは原因も回避方法も把握できないでしょう)。
インターネットエンジニアがよく口にする有名なフレーズがあります。これはEFFの共同創設者ジョン・ギルモアが作った造語で、「ネットは検閲を損害と解釈し、それを回避する」というものです。この言葉はより広い意味を持つようになり、エンジニアたちは基本的に「心配しないでください。インターネットは常に壊れます」と言うためによく使います。実際、インターネットは毎秒壊れますが、ほぼ瞬時に修復します。
しかし、インターネットの商業主義が進み、民間企業や営利企業がインターネットの基盤の層にますます介入するようになっていることから、この F ルート事件に関する ISC の報告は、今後起こることに対する警告となるかもしれない。
Cloudflare にコメントを求めており、返答があり次第この記事を更新します。®
追加更新
この記事の公開後、El Regとの会話の中で、Cloudflareの広報担当者は、同社のソフトウェアの閉鎖性が原因であるという見解を否定した。「これは非常に特殊なケースです」と、Cloudflareの著名なエンジニアであるマーティン・レヴィ氏はThe Register紙に語った。「オープンソースは良い、閉鎖性は悪いという二元論で捉えるのは公平ではありません。私たちは膨大な量のソフトウェアをオープンソースの世界に投入してきました。」
同氏は、Cloudflareは導入予定のコードに対して「徹底的なテストを行っていたが、今回の特殊なケースには気付いていなかった」と述べ、いかなる障害も「極めて局所的なもの」だったと付け加えた。簡単に言えば、このコード変更は特定の顧客向けの文字エンコード処理の改善であり、ルートサーバーに予期せぬ連鎖反応をもたらした。
BGPルートの切断により、ルートサーバーがgTLDのAレコードとAAAAレコードを破棄したと考えられます。これは、ルートサーバーがアクセスできなくなった別のシステムからこれらの詳細を取得していたためと考えられます。レポートPDFの最後の2ページをご覧ください。
また、これは .net だけでなく、F および E ルート サーバーで処理されるすべてのドメイン名に影響しましたが、.net は Web のかなり大規模で重要な部分であるため、ISC にとって注目されていました。
完全な開示: The Register は Cloudflare の顧客です。
