IPv6環境での脅威と対策は？ IPv6技術検証協議会が報告書：NS/NA詐称など35シナリオを検証

[ITmedia]

　IPv6技術検証協議会のセキュリティ評価・検証部会は10月23日、IPv6の安全性や相互運用性に関する検証結果をまとめた「IPv6技術検証競技会 最終報告書」を公開した。安全で安定したIPv6利用環境の実現に役立ててほしいとしている。

　この最終報告書は、IPv6環境におけるセキュリティ上の脅威と、その対策方法についてまとめたもの。2010年7月から2012年7月にかけて、検証施設（テストベッド）で行われた40通りの攻撃シナリオを列挙し、うち35シナリオについての検証結果を基に、どんな手法が脅威となり得るか、またその対策手法にはどんなものがあるかを解説している。

　具体的には、例えばエンドノードに対する脅威としては、近隣要請広告（Neighbor Solicitation／Neighbor Advertisement：NS/NA）の詐称による通信妨害やRH0（Route Type 0）を用いた通信妨害などが挙げられている。またネットワーク機器に対する脅威としては、不正なジャンボペイロードや不正なフラグメントパケットを用いた通信妨害、ルータ広告メッセージ（RA）詐称などがあり、それぞれの検証結果と対策案が述べられている。

　報告書によると、35シナリオのうち13個のシナリオについては、どの機器でも攻撃は成立しなかった。だが残る22個のシナリオについては、1つ以上の機器で攻撃が成立。中には、皮肉なことにIPv6の仕様に忠実に実装した結果、攻撃が成立するものも多く見られたという。「IPv6において導入されたプラグアンドプレイ機能などの柔軟な設計が、その意図に反して悪用された場合に大きな脅威となりうる」（同報告書）。

　対策手法としては、ネットワーク機器側に新たな機能の実装が必要なものと、運用時の設定の工夫によって回避できるものとがあり、特にDoS系の攻撃については、「特定のパケットに対して破棄、あるいはレートリミットの仕組みを導入することで回避可能なものが多い」（同報告書）という。また、最新の仕様（RFC）に従うことで回避可能な問題も含まれている。

　IPv6技術検証協議会は、情報通信研究機構、F5 ネットワークスジャパン、KDDI、ソフトバンクBB、タレスジャパン、ディアイティ、東陽テクニカ、日本電信電話（NTT）、バッファロー、パロアルトネットワークス、ブルーコートシステムズ、ブロケード コミュニケーションズ システムズ、日本マイクロソフトが参加して、2010年7月に設立された。検証は、日本マイクロソフトの大手町テクノロジーセンター内にテストベッドを構築し、会員企業の各種製品と、情報通信研究機構が開発した攻撃ツールを導入して行った。