米国時間6月15日,Google.com,Yahoo.com,Microsoft.comといった米国の人気サイトがアクセス不能になったと報じられた。時間は東部標準時の朝8時30分から2時間ほど。原因は,米Akamai TechnologiesのDNSサーバー(米InfoWorldの記事)。当初Akamai社は同社の顧客サイトにサービス拒否(DoS)攻撃があって,その結果,DNSサーバーに障害が起きたと説明していた(米CNET News.comの記事)。ところが翌日になって正式声明を出し,攻撃は同社のDNSサーバーに向けられたものだと発表した(関連記事)。しかしこの説明を懐疑的に見る業界関係者は多い。同社のDNSサーバーの運用手法などに問題があるのではという指摘もある。今回は各種報道や企業の発表資料を基に,この事件について検証してみる。

■「ほとんどのユーザーがアクセスできていた」

 今回のAkamai社の説明を詳しくみると,「攻撃により,DNSの名前解決に遅延が生じ、一部でDNSリクエストのタイム・アウトが発生した。しかしこうした影響が出たサイトは顧客の4%,著しく影響があったのは2%」とある。

 Webサイトのパフォーマンス計測をしている米Keynote Systemsによると,上位40サイトのアベイラビリティ(到達可能率)は通常99%を下回ることはめったにない。ところが問題が起きた時間のそれは,81%にまで下がったという。

 これに対しAkamai社では,Keynote Systems社のような第三者機関の計測サービスは,被害を誇張する場合があると反論している。Akamai社は発表資料で以下のように説明している。

 「第三者機関の計測サービスでは,サイトのアベイラビリティを自分たちのプライベートなネーム・サーバーを使って計測している。計測用のネーム・サーバーの一つが,速やかに名前解決できない場合などは,そのサイトを到達不可能と記録する可能性がある。それに対して,実際のユーザーは,インターネット上に置かれたパブリックなネーム・サーバーを使っている。パブリックなネーム・サーバーは,何度も名前解決を試みる。そして,一度でも名前解決できれば,その情報は多数のユーザーに共有される。このため,攻撃を受けた当日も,世界中のほとんどのユーザーが目的のサイトにアクセスできていた」(発表資料

■別のシナリオの可能性

 ところが,「今回の障害はそもそもDoS攻撃が原因なのではないかもしれない」とする見方もある。米Computerworldに掲載の記事で、米Arbor NetworksディレクタCraig Labovitz氏は,「言われているようなDoS攻撃が起こったと考えられるトラフィックやDNSのパターンはなかった」とコメントしている(掲載記事)。

 また同記事には次のような意見もある。「Akamai社のように分散技術を持つ企業であれば、当然DNSサーバーも分散させている。もし同社のオペレーション全体を妨害する目的で攻撃するのであれば、それに見合うだけの相当な帯域幅が必要となる。しかし、当日そのようなトラフィックは見られなかった。だとすれば犯人はAkamai社の、複数の特定サーバーだけをピンポイントで狙ったことになる」(米Counterpane Internet SecurityのCTO,Bruce Schneier氏)掲載記事

 なるほど,Akamai社は声明で,「Akamaiの特定顧客を狙った高度な攻撃が原因」と表現している。これは「ピンポイント攻撃」のことを言っていたのかもしれない。

 しかし,Schneier氏は次のようにも述べている。「今回の事件は、こうした攻撃が可能な、内部情報やアクセス権を持つ人物の可能性もある。あるいは単にAkamai社の内部的な障害ということも考えられる」(同氏)

■Akamai社はCDNの草分け

 内部的なシステム障害という可能性も示唆しているのだ。実はAkamai社に対してそのような見方が出るのには理由がある。同社では,ほぼ1カ月前にも同様の障害が起きているからだ(関連記事)。そのときは,同社の中核事業であるCDN(Content Delivery Network)の障害だった。このCDNとは,コンテンツ供給者が効率よくコンテンツを配信するための広域負荷分散ネットワークのこと。同じコンテンツを保存する多数のサーバーを世界各地に置いておき,エンド・ユーザーがコンテンツにアクセスする際,そのユーザーに近い最適なサーバー選んで自動接続させる。

 同社の場合,世界65カ国以上に,1100のネットワークを持っており,それを1万4000台以上のサーバーで構成しているという。CDNの用途は動画,音楽などのストリーミング配信や,ウイルス定義ファイル/ソフトウエアのアップデートなどと多種多様。同社の顧客リストには,米IBM,米Apple Computer,米Network Associates,米Red Hatなどの名前がある(Akamai社資料)。

 Akamai社は,このCDN事業者(CDSP:Content Delivery Service Provider)の草分け的存在である。同社の母体は,マサチューセッツ工科大学(MIT)コンピュータ・サイエンス研究所の一プロジェクト。当時「World Wide Wait」と揶揄(やゆ)されたインターネットの過剰トラフィックを数学アルゴリズムで解消しようと設立された。その後,MITの教授らがAkamai社を設立,1999年4月に商用サービスを始めた。

■「Akamai社のDNSのアプローチには弱点がある」

 CDNの草分けであり,冗長化のプロフェッショナルと見られる同社が,こうした事件/障害に遭遇したことに首をかしげる人は多い。例えば,Akamai社には「Enhanced DNS」と呼ぶサービスがある。これは,DNSサーバーの分散ネットワークを顧客企業に提供するというもの。各DNSサーバーは複数のネットワークにまたがって配置してある。これにより,エンド・ユーザーは最も近くのサーバーにアクセスでき,迅速な名前解決が得られる。同時に,冗長構成なので,ダウンタイムがないというメリットがある(Akamai社の資料

 ところがそれがうまく機能しなかった。これはどういうことなのだろうか。これについて,ISC(Internet Systems Consortium,旧称はInternet Software Consortium)創設者のPaul Vixie氏は,米internetnews.comの取材に対してこう述べている。「Akamai社のDNSに対するアプローチには,弱点がある」(掲載記事

 ISCは,世界に13台あるルートDNSサーバーの1つを運用しており,またDNSソフトウエア「BIND」のソースコードをメンテナンスしている米国の非営利組織である。

 DNSシステムで最上位に位置するルートDNSサーバー(ルート・サーバー)は,2002年にDoS攻撃を受けた。Vixie氏によれば,各ルート・サーバーのオペレータはその後,「多様化」という手法をとったという。

■「冗長化」だけではなく「多様化」が必要

 例えば,現在それぞれのルート・サーバーでは,異なるOSやDNSソフトを利用している。ルーター,スイッチ,CPU,運用手法に至るまでを多様化している。これにより,1つの障害がほかに波及する危険性を著しく減らせるという。

 Vixie氏は,「Akamai社は,1つの手法にすべてをかけている」と非難する。「インターネットの基本技術は,軍の要求仕様に沿って開発されたもので,1カ所の障害がほかに影響を及ぼし,致命的状況にならないよう考えられている。しかし,Akamai社の場合はそれができていない」(同氏)

 確かに多様化は重要だろう。ただ,一企業であるAkamai社にシステムの多様化を求めるのは酷なことだ。そう思うのは筆者だけではないだろう。営利目的の民間企業は,システムを統一したり,稼働してない余分なシステムを排除したりして,コスト削減を図るものである。

 Akamai社は今,1万4000台のサーバーで巨大ネット産業をリアルタイムに支えている。とはいっても一民間企業に過ぎないのも事実。今回の事件/障害についてAkamai社を責めるのは容易だが,コストを優先せざるを得ない一民間企業に,ネットが大きく依存していることも問題ではないだろうか。

◎関連情報
米Akamai,主要サイトの障害は「特定顧客を狙った高度なDoS攻撃が原因」と報告
米AT&T,リアルタイムでDoS攻撃の衝撃を緩和するサービスを発表
AkamaiのCDNに障害,一時的に大手サイトへアクセスできない状態に
「セキュリティ・ホール発見からワーム出現までの期間が過去5年で短縮」
米IVTと米Akamai,Webキャストのストリーミング・ソリューションで提携
米Akamaiと米MLBAM,MLB試合のWeb配信で複数年契約
オンデマンド・コンピューティング向け「WebSphere Studio」のアドオンを提供
英C&Wと米Akamai,CDN技術関連の特許侵害訴訟で和解