突然,一部のユーザーが米グーグルの動画サイト「YouTube」にアクセスできなくなる──。こんな事件が2008年2月24日に発生した。この事件の背景には,インターネットのバックボーンを支えるプロトコルの一つ,BGPの仕様上の弱点があった。

 BGPは主にISPなどの大規模ネットワーク同士で経路情報をやり取りする際に使うルーティング・プロトコル。BGPで不正な経路情報を流されてしまうと,ユーザーは誤った経路に誘導される。BGPもDNSと同様,認証部分に弱みを抱えているのだ。

「来る経路は拒まず」の仕様が“アダ”になる

 BGPでは,経路情報をやり取りする大規模ネットワークをASという単位でとらえ,「AS番号」と呼ばれる一意の番号を振っている。大抵のISPやデータ・センター,一部の大企業などはAS番号を持っている。

 AS同士はBGPを使って,「どのASの先にどんなアドレスのネットワークがあるか」といった経路情報を交換する。膨大な経路情報をなるべく安定してやり取りするため,経路情報はアドレスを大きなブロック単位に束ねた形で送る。また,送られてくる経路情報はいちいち認証せず,基本的に信用する。どこか1カ所の経路情報が変わると,変更内容は世界中のルーターに自動的に伝わっていく仕組みだ。

 前述の2008年2月の事件は,このBGPの仕様に原因があった。パキスタンの通信事業者であるパキスタン・テレコミュニケーションが国内からYouTubeへのアクセスを止めるために,「YouTubeのネットワークが自社のAS内にある」との偽経路情報を国内ネットワークに流したのが発端だ。この時,本来はパキスタン国内だけに流れるはずだった経路情報が,設定ミスでインターネット上に流れてしまった。つまり,経路情報を信用した世界中のルーターが「YouTubeのネットワークはパキスタン・テレコミュニケーションのAS内にある」と勘違いしたのである。

 もちろんYouTube側のASも正しい経路情報を流していたが,BGPの仕様では該当経路が複数ある場合,プレフィックス値が大きい方を優先するのが原則。2008年2月の事件では,よりプレフィックス値が大きいパキスタン・テレコミニケーションの経路情報が優先された(図1)。

図1●2008年2月に起きたYouTubeの経路ハイジャックの流れ<br>パキスタン・テレコミュニケーションが国内ネットワークに偽の経路情報を流そうとした。ところが誤って偽の経路情報を広くインターネットに流してしまったため,各国のYouTubeあてトラフィックはパキスタン側に流れ込み,約2時間超の間YouTubeにアクセスできなくなった。
図1●2008年2月に起きたYouTubeの経路ハイジャックの流れ
パキスタン・テレコミュニケーションが国内ネットワークに偽の経路情報を流そうとした。ところが誤って偽の経路情報を広くインターネットに流してしまったため,各国のYouTubeあてトラフィックはパキスタン側に流れ込み,約2時間超の間YouTubeにアクセスできなくなった。
[画像のクリックで拡大表示]

原因の多くは悪意ではなく設定ミス

 実はこうした問題は以前から認識されており,BGPの経路を乗っ取れることから「経路ハイジャック」と呼ばれている。

 物騒な名称とは裏腹に「経路ハイジャックの原因の大半は設定ミス」(インターネットイニシアティブ(IIJ)ネットワークサービス部技術推進課の松崎吉伸シニアエンジニア)だ。しかし,設定ミスにしても特定のWebサイトが事実上サービス不能に追い込まれたり,エンド・ユーザーが不正な経路に誘導されたりするとあっては,ISPとして何らかの対策が必要となる。

 不正な経路情報をインターネットに拡散させない予防策としては,ルーターに経路フィルタを設定することが挙げられる。とはいえ,全世界のISPに対して,適切な経路フィルタの設定を徹底するのは難しい

 一方,電子証明書を使ってBGPの経路情報を認証するプロトコルも複数検討されているが,実装にはかなり時間がかかりそうだ。

 そこで,「まずは現状把握が必要」(IIJの松崎氏)との考えから,国内ではTelecom-ISAC JapanとJPNICが協力して,「経路ハイジャック情報通知実験」を実施している。

 これはJPNICが運用する経路情報データベース・サービス「JPIRR」と,Telecom-ISAC Japanの運営する経路ハイジャック検知サーバー「経路奉行」を連携させたものだ(図2)。JPIRRは,各ASの管理者が「ASを持つ事業者名」,「AS番号」,「管理者連絡先」などの情報を登録するデータベースである。

図2●経路ハイジャック情報通知実験の取り組み<br>2008年5月からJPNICとTelecom-ISAC Japanが共同で始めた経路ハイジャックの通知実験。経路情報の登録サービス「JPIRR」の登録内容と,BGPを使ってインターネットから収集した現実の経路情報を比較する。
図2●経路ハイジャック情報通知実験の取り組み
2008年5月からJPNICとTelecom-ISAC Japanが共同で始めた経路ハイジャックの通知実験。経路情報の登録サービス「JPIRR」の登録内容と,BGPを使ってインターネットから収集した現実の経路情報を比較する。
[画像のクリックで拡大表示]

 まず,経路奉行はTelecom-ISAC Japanに参加しているISP(図7の各AS)から,インターネットでやり取りされている現実の経路情報を集める。収集した現実の経路情報を,あらかじめ登録された正しい経路情報リストと照らし合わせ,整合性が取れない場合は「経路ハイジャックの疑いあり」としてASの管理者に警告メールを出す仕組みだ。「正しい経路情報リスト」はJPIRRのデータと,経路奉行の管理者が手動で作成したポリシーを組み合わせたものを使う。