ハッカーの次なる標的はルータ

2001/12/27
By Rutrell Yasin, InternetWeek, Monday, December 17, 2001, 3:07 PM ET

 セキュリティ専門家の警告によると、トラフィックを大量に送りつけてWebサーバをダウンさせるという攻撃パターンに飽きたハッカーの次なる興味の対象はルータという。ルータの脆弱性を突けば、大量のトラフィックの進路を変更してインターネットの荒野へと流してしまうことができるのだ。

 この脆弱性は、異なるベンダのルータ製品のルーティングテーブルを変換するBGP(Border Gateway Protocol)にあるもの。BGPは1994年から市販のルータに採用されており、セキュリティに問題があることは少なくとも2年前から分かっていた。だが、専門家によると、ここ最近、ハッカーのたまり場となっているIRC(Internet Relay Chat)ネットワークの間で、ルータ侵入キットの話題が急増しているという。

 ここ数年のあいだ、ハッカーは同様のキットを利用して、パケットを大量に送りつけて複数のISPや著名なWebサイトを一時的にダウンさせた。ISPを狙ったルータ攻撃がハッカーにとって魅力的なのは、ISPの場合、ルータがコントロールしているのは単にWebサイトのトラフィックだけでなく、別のISPから来た通過トラフィックなども含め、ISPが管理するインターネットのトラフィックすべてが含まれるからだ。

 米KPMGの通信ディレクター、Carlos Recalde氏は、大企業も通信事業者もこの新たな脅威に対して、準備不足だと指摘する。

 「自分が管理するシスコ製ルータにハッカーが狙いを定め、何かを仕掛けてこないかと常に心配している」(Recalde氏)

 米KPMGのITスタッフである同氏は、設定の変更をトラッキングするため、ルータのイメージを定期的に図面化してくれる社内開発のスクリプトを利用している。だが、このスクリプトを利用することは破壊経路を明らかにするのには役立つが、侵入自体を防ぐことはできないという。

 「このスクリプトでは、何が起こったのか分からないような短時間で、かつ完全な攻撃は防げない」(Recalde氏)

 専門家はルータ管理にデフォルトパスワードを使わないよう警告しているが、セキュリティ監視機関である米CERT Coordination Centerの広報によると、デフォルトパスワードの使用はごく一般的に行われているという。CERTでは、ネットワーク運用ツールへのアクセスにパスワードだけでなく、スマートカードなどのユニークなIDも組み合わせた公開鍵インフラ(PKI)技術を採用した認証レイヤの追加を推奨している。PKIを用いれば、少なくともパスワードスニファーしか用意していないハッカーの侵入は防ぐことができる。

 インターネットルータの最有力ベンダの米シスコからは、同社のルータ製品のセキュリティ強化計画に関する回答を得ることができなかった。

責任は全員に

 Recalde氏によると、ルーティングインフラのセキュリティを確保することは、ルータベンダ各社とそのカスタマだけの責任ではないという。米AT&Tや米WorldComといった通信事業者にも、自分たちのネットワークトラフィックが乗っ取られないようにする義務があるといえるからだ。

 その通信事業者の一社、米グローバル・クロッシングでコンピュータネットワークセキュリティのディレクターを務めるJim Lippard氏は、次のような見解を示す。「通信事業者やISPは、より強力な認証、トラフィックを誘導するフィルター、そして攻撃を検知しトレースするツールを実装するという対策をとれる。しかし、BGPなどのプロトコルにセキュリティの強化が必要とされている点を忘れてはならない」。

 Lippard氏によると、ルータに何らかの保護機能を付加するためには、通信事業者と企業がほかのISPとの間で特別な通信体制を築き、ほかのネットワークからのトラフィックを閉め出す必要があるという。この対策により、メッセージがどの通信事業者から送られたものなのかをごまかすことはできなくなる。

 米グローバル・クロッシングでは、信頼性の高いルーティング情報がほかの通信事業者のルータに確実に送信されるようにするため、BGPをサポートする「Message Digest」(MD5)と呼ばれる認証手法を使用している。あるルータが別のルータに最新情報を送信すると、MD5はその送信中に公開キーを圧縮し、隣のルータに到着するまでこのキーが読まれないようにしてくれる、という仕組みだ。

 ルータベンダ各社はまた、通信事業者がカスタマのトラフィックが通過可能な経路をコントロールできるようにするフィルターも製品に内蔵している。このフィルターは、ほかのISPネットワークに対して有効なIPアドレスを制限することが可能となる。

いますぐとるべき対策は

 だがLippard氏は、これだけでは不十分とする。これらの対策では、カスタマになりまして個人データを見るといった行為を防ぐことはできるものの、別のカスタマを装って偽装トラフィックを送り、ルータに負荷をかけるといった行為を防ぐことはできないからだ。

 米Arbor Networks、米Asta Networks、および米Mazu Networksの各社はすでに、ネットワークに常駐してトラフィックの異常を探索するエージェントを使い、ルータが攻撃を受けようとしていることを警告する技術を開発した。しかしLippard氏によると、その前の段階で攻撃を防いでくれるものは、現在のところは全くないという。

 その一方で、BGPのセキュリティを強化するためのデジタル証明や各種PKI技術を組み込む作業は、少しずつ進められている。

 米Verizonのグループ会社の1つである米BBN TechnologiesがリーダーシップをとるSecure BGP Projectは、国防省と共同で「S-BGP」と呼ばれるプロトコルのテストバージョンを開発した。

 S-BGPは、PKIを使ってIPアドレスブロックの所有者、AS(Autonomous System)番号、およびBGPルータのIDを認証する。データの暗号化にIPSecを利用し、トラフィックの交換でBGPルータが相互に認証できるようになる。

 Lippard氏によると、MD5はシンプルな認証手法にすぎないが、S-BGPはマルチレイヤのセキュリティを提供するため、ISPがデジタル署名やあらゆる種類のコンフィギュレーションデータを暗号化することが実現するだろうという。

 だが、S-BGPにも大きな障害がある。同プロトコルの効力を発揮させるためにはインターネットのレジストリ、ルータベンダ各社、そしてISPのすべてが実装に同意しなければならない点だ。「S-BGPの普及のためには、IETFの標準化プロセスを経てベンダ各社がこれを実装する必要がある」(Lippard氏)。

 コンサルティング会社の米Espiriaで主任セキュリティアーキテクトを務めるTodd Hudspeth氏は、実装を待つ間に、ITの現場では「社内のルータに対する定期的な脆弱性評価チェック」を実施すべきだと語る。ネットワーク管理者がメンテナンス中に、不注意からルータのパラメータを変更してしまうことがしばしばあるが、それが攻撃を受けやすくしてしまう。

 さらに、最低限の対策として、異常なトラフィックパターンを検知し、帯域幅利用の大きな波に合わせて調整もできるような技術を導入しておく必要もあるだろう。米Weather.comの品質管理/サイト運営担当副社長 Don Agronow氏は、同社が先日、高速ネットワークのデータパターンを分析してトラフィックの正当性を判断する米Lancopeの「StealthWatch」セキュリティアプライアンスを導入したことを明らかにした。

 同社は今年初めにDoS(サービス拒否)攻撃を受け、自社のホスティング施設内に設置し、運用はエクソダスに任せていたルータに偽装トラフィックによる過負荷がかかり、業務が数時間停止するというトラブルを経験した。そこで、同社は最近になって米WorldComに乗り換えた。Agronow氏は、米WorldComの方がこのような攻撃に対する経験が豊かだと感じたことに言及し、「ISPを味方(パートナー)にすることが重要だ」と語る。

 それでもAgronow氏は、技術力のある悪質なハッカーであれば、どのWebサイトに対しても、ルーティングインフラに攻撃を仕掛けることにより大混乱をひき起こすことが可能である現状を懸念している。

[英文記事]
Latest Hacker Target: Routers

[関連記事]
BGPの仕組みと役割を理解する (Master of IP Network)
ルーティング・プロトコルの役割を理解する (Master of IP Network)
ルータ/スイッチを監視してダウンに備えるトリップワイヤ(@ITNews)
テロ事件で変わったデータセキュリティのルール(@ITNews)
セキュリティポリシーの国際標準、BS7799とは何か? (@ITNews)
意識の格差が指摘されるセキュリティ対策 (@ITNews)

Copyright(c) 2001 CMP Media LLC. All rights reserved

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)