大規模な盗聴が可能な「ネット最大の脆弱性」：BGPの悪用を公開デモ（WIRED VISION）

2008年08月29日(金) 12時02分

大規模な盗聴が可能な「ネット最大の脆弱性」：BGPの悪用を公開デモ（WIRED VISION）

2人のセキュリティ研究者が、これまで米国家安全保障局(NSA)のような情報機関の関係者を除けばいかなる人間にも不可能と考えられていた規模で、インターネットのトラフィックを密かに盗聴する新たな手法のデモを行なった。

この手法は、インターネットのルーティング・プロトコルであるボーダー・ゲートウェイ・プロトコル(BGP)を悪用し、世界中の暗号化されていないトラフィックを密かに傍受するというもので、さらには、宛先に到達する前に内容を改変することもできる。

インターネットの中核となるプロトコルの一部には、基本的な弱点が内在している。これらに対する攻撃はこれまでにも存在し、今回のデモはその最新の例にすぎない。

こうしたプロトコルは1970年代に開発されたものが大部分だ。当時はまだ生まれたばかりだったインターネットでは、全ノードが信頼できるという前提に基づいていた。

だが、7月には研究者のDan Kaminsky氏がドメイン・ネーム・システム(DNS)の深刻な問題点を公表し、こうした前提がもはや過去のものになっていることを世の中に広く知らしめた。専門家によると、今回新たにデモが行なわれた攻撃方法は、さらに重大な弱点を突いている恐れがあるという。

ハッキング・グループ『L0pht』の元メンバーでコンピューター・セキュリティ専門家の「Mudge」ことPeiter Zatko氏はこう指摘する。「非常に大きな問題だ。DNS問題と同等かそれ以上の大きな問題と言える」。Zatko氏は1998年に米議会において、今回のデモと似たBGP攻撃を行なえば30分でインターネットをダウンさせることが可能だと証言し、さらには政府職員に対し、BGPを盗聴に利用する方法を非公式に報告した人物だ。

「10年ないし12年前に、私はこの件について声を限りに訴えて回った……各情報機関や米国家安全保障会議(NSC)に、その詳細を説明したこともあった」

DefConでデモが行なわれたのは、BGPを悪用してルーターを騙し、盗聴者のネットワークにデータをリダイレクトする中間者攻撃(man-in-the-middle attack)だ。

BGPルーターを設置している者(インターネット・サービス・プロバイダー(ISP)、大企業、さらには通信事業者の施設を借りている者)なら誰でも、特定のIPアドレスやアドレス・グループ宛てのデータを傍受することができる。

傍受の対象となるのは、ターゲットとなったアドレスを目的地とするトラフィックのみで、当該アドレスから発信されるトラフィックは傍受できない。また、あるネットワーク内のトラフィック(たとえば、米AT&T社のある顧客から別の顧客へのトラフィックなど)すべてを傍受できるとは限らない。

この手法を悪用すれば、企業スパイや国家のスパイ活動に使えるうえ、さらには、ISPの協力を得ずにインターネットのデータを調べたい情報機関にも役立つはずだ。

BGPを悪用した盗聴は昔から理論上の弱点として指摘されていたが、これまでは公の場でデモが行なわれた例は知られていなかった。だが今回、米5Nines Data社でデータセンターとネットワークを統括している「Tony」ことAnton Kapela氏と、米Pilosoft社の最高経営責任者(CEO)のAlex Pilosov氏が、8月上旬に開催されたハッカー会議『DefCon』において自らの手法を披露(PDF)し、これが初の公開デモとなった。

2人は、DefConのネットワークに流れ込むトラフィックを傍受し、ニューヨークで2人が管理しているシステムにリダイレクトしたあと、ラスベガスのDefConネットワークに戻すことに成功した。

Pilosov氏が考案したこのテクニックは、BGPのバグや欠陥を突くわけではない。BGPの本来の仕組みを利用しているだけだ。

Kapela氏はワイアードニュースに対し、「通常の手順と異なることは何もしていない。脆弱性やプロトコルのエラー、ソフトウェアの問題はまったくない。問題の原因は、インターネットを維持し機能させるのに必要とされる相互接続性のレベルだ」と語っている。

こうした問題が存在するのは、BGPのアーキテクチャーが信頼に基づいているからだ。たとえば、カリフォルニア州にいる米Sprint Nextel社の顧客が送信した電子メールを、スペインの通信会社Telefonica社の顧客に届けるとしよう。配信作業を楽に行なうため、これらの通信事業者や他の企業のネットワークはBGPルーターを通じて通信し、データを宛先に送るのに最も効率のよい最短ルートを割り出す。

だが、あるルーターが最適なルートを主張した場合には、BGPはその情報を疑うことなく、正しいと判断する仕組みになっている。そのため、簡単にBGPを騙せるので、盗聴者はルーターを欺き、トラフィックを容易に自分のネットワークに送ることができるのだ。

[この翻訳は抄訳。別の英文記事では、今年2月24日にYouTubeをダウンさせた障害が、このBGP問題から生じたものであることなどを解説している。パキスタン政府が問題視したYouTube上のある動画について、パキスタン・テレコム社が国内からのアクセスを禁止しようとした際に、ルーターに間違った情報を送信。世界中のYouTube向けトラフィックを「ハイジャック」して国内に集中させることになったという。ただし今回のDefConでのデモでは、傍受が露見しないよう、傍受したあとで、データを(途中経路を隠した形で)実際の目的地に送信されるようにしている。

以下の動画は、「IPハイジャック」が急速にネット上に広まったことを説明する動画]

http://headlines.yahoo.co.jp/hl?a=20080829-00000004-wvn-sci