SCAN DISPATCH :インターネットのバッファー・オーバーフロー脆弱性? 無効なprefix発信で全世界が大混乱 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

SCAN DISPATCH :インターネットのバッファー・オーバーフロー脆弱性? 無効なprefix発信で全世界が大混乱

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 インターネットのインフラを監視しているRenesys社の Earl Zmijewski 氏のブログが、「インターネット版バッファー・オーバーフロー脆弱性」とも呼べるような事件を検知して報告している。

 インターネットは「AS(Autonomous System)」と呼ばれる企業のネットワークやISPのネットワークなどによって構成され、それぞれが識別番号を持っている。Earl Zmijewski 氏は「情報スーパーハイウエイでは運転免許書はいらない」ため、どこかのASの「危険運転」による世界規模のインターネットのメルトダウンが発生したと指摘し、インターネットの将来についての論議を醸し出した。

 事件が起こったのは、日本時間の2月17日の深夜1時23分30秒(2月16日16:23:30 UTC)。チェコの極小ISPであるSuproNet (AS 47868)が、Sloane Park Property Trust (AS 29113)に向けて、そのprefixである94.125.216.0/21を約1時間に渡ってアナウンスした。このprefixは、Level 3 (AS 3356)、 Tiscali (AS 3257)、そしてTeliaSonera (AS 1299) によって伝搬され、最終的には「全部で230の個別のASがこのprefixをアナウンス」した。

 問題なのは、このprefixのASパス長が、255を超えていたこと。

 インターネットは、全世界の様々なASが協力して初めて成り立っている。インターネット上で通信を行う場合は、このASをいくつか経由して情報が伝達され目的地に達する。そのため、それぞれのASは自分向けの通信を受け取る際、他にどのようなASを経由をして欲しいかを定めることができ、この経由して欲しいASの識別番号を順番に並べて表記したものをASパスと言う。ASパスの指定等の情報は、ルーティング・プロトコルであるBGP(Border Gateway Protocol)を使って近隣のASのルータがお互いに情報を交換することを順次繰り返すことにより、最終的には世界の隅々までその情報が伝搬されるようになっている。

 ASパスの指定には色々なテクニックがあるが、短いASパスは通信上効率が良く好まれるため、経由して欲しい近隣のASを指定する場合は短いASパスをアナウンスするのが良い。一方、経由して欲しくないASを含む場合は、意味の無い番号などで割り増した長いASパスをアナウンスすることがよく行われる。通常、ASパスの長さは4だ。

 今回、チェコのSuproNet (AS 47868)が流したASパス長は、なんと255を超えていた。大手ISPなどのルータはこれを問題なく解決したが、多くのルータはこの無謀に長いパスを処理できずにバッファー・オーバーフローを起こしたり、この通知を送ってきたルータとの通信の遮断や再開を繰り返したりして不安定になってしまったのだ(BGPセッションのフラッッピング)。この通信の遮断やフラッピングが全世界隅々のルータに波及していったため、BGPのフラッピングを示すアップデート数が、日本時間の2月17日の深夜1時30分54秒にはなんと1秒間に107,780回も観測され、世界的なインターネットのメルトダウンとなったのである。

 図1は、この事件の前の世界のルータの安定度を示した地図。緑が安定、黄色がほぼ安定、オレンジは不安定、そして赤が非常に不安定、青はデータが少ない国だ。図2が、この事件が発生してから1時間後の地図。日本を含め多くの国でインターネットが不安定になったのが分かろう。この期間、「不安定になったprefixの数は通常の10倍になった」そうだ。

図1:
https://www.netsecurity.ne.jp/images/article/bo_before.jpg

図2:
https://www.netsecurity.ne.jp/images/article/bo_after.jpg

 SuproNet (AS 47868)はチェコでも88位の規模、全ヨーロッパともなると1,670位の規模である極小ISP。この極小ISPのたった一つのミスによって、全世界のインターネットの不安程度が10倍にも増加してしまった。この事件が「インターネットのバッファー・オーバーフローの脆弱性」と例えられるのも理解できよう。

 Earl Zmijewski氏のブログには各種コメントが寄せられている。「ほとんどの国では、誰もが自由にISPを立ち上げることができるからこうした事件は簡単に起こる」「これが悪用されたらどうなるだろうか?」「インターネットに“参加”するには運転免許書を発行すべきだ。でもその方法は?」「いや、BGPを作り直すべきだ」等々。

 どちらにせよ、今回の事件が発生したのは…

【執筆:米国 笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. Mac OS X のシングルユーザモードの root アクセス(2)

  8. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×