メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.35/2007年3月発行

RIPE NCCにおけるデータベースのセキュリティ動向

インターネット推進部では、ルーティングのセキュリティ向上を視野に入れた登録情報の正当性とデータベースのあり方について調査研究を行っており、その一環としてRIRのデータベース動向を調査しています。今回は、RIPEミーティングに参加してセキュリティに関する議論の動向を調べるとともに、RIPE NCCのスタッフに、RIPEデータベースの仕組みや課題について話を伺ってまいりました。

本稿ではこれらを通じて見えてきたRIPEデータベースのセキュリティの動向について紹介いたします。

第53回RIPEミーティングでは、初日に主にLIR向けのチュートリアルが行われ、初日から3日目にかけて全体会議であるPlenaryが行われました。3日目以降はWGのセッションが開かれました。ミーティングの参加登録者は355名で、ここ1年ではほぼ平均的な人数です。

セキュリティに関しては、全体会議であるPlenaryとNCC Services WGでリソース証明書に関する議論が、Database WGでIRTオブジェクトとCRYPT-PWを廃止する案についての議論が行われていました。これらの議論についてご紹介します。

リソース証明書に関して

リソース証明書については、Plenaryをはじめ複数のWGで議論が行われていました。リソース証明書はIPアドレスやAS番号が入った電子証明書※1で、WHOISの代わりにIPアドレスの割り振りや割り当てを証明するために使われます。IPアドレスの割り振り構造に従って発行され、そのツリー構造の末端部分ではIPアドレスとAS番号の両方が入った電子証明書が発行されます。この電子証明書はBGPなどにおける経路制御を安全にするために使われることが想定されています※2。リソース証明書の実装は、2006年4月頃よりAPNICとRIPE NCCが中心となって進められてきました。

Plenaryでは、APNICのGeoff Huston氏によって、リソース証明書を使ってIRRの登録情報に電子署名を行うデモが行われました。この電子署名はIRRのroute-setオブジェクトに対して行われるもので、そのroute-setオブジェクトに含まれるrouteオブジェクトがauthorize(認可)されたことを意味しています。routeオブジェクトには広告元(すなわちそのアドレスを持つノードの収容先)となるAS番号が記載されているため、LIRがそのASに対してインターネットでそのIPアドレスを使うことを認可した、という意味になります。この認可の概念はROA(Route Origination Authorization)と呼ばれています。インターネットレジストリの割り振りを意味するリソース証明書は2006年7月の時点で既に実装されていたので、このROAを示すリソース証明書の発行によって、ツリー構造の最上位から末端までのすべてのリソース証明書が発行できる状況になったことになります。

Plenaryの会場では、このプログラムが無事に動作したことに対して賞賛の拍手が送られる一方、リソース証明書の発行に使われるデータベースが信頼に足るかどうかという根本的な疑問が投げかけられていました。リソース証明書自体が信頼できる仕組みであっても、証明書の元になるデータが間違っていたら意味がないためです。RIPE NCCでは既にこの点に着目しており、リソース証明書の導入に関して、予測される効果やインパクトを評価する活動が提案されています。この活動はNCC Services WGで発表されていました。

2007年度のRIPE NCCの活動計画によると※3、RIPE NCCでは2006年度のAPNICの実装プロジェクトへの参加に引き続き、リソース証明書に着目した活動が行われていくとされています。NCC Services WGでのAxel Pawlik氏(RIPE NCC)の発表では、2007年度の本格的な活動に先立って、Evaluation Task Force(評価タスクフォース)の立ち上げが提案されていました。この評価は必要となる業務の詳細やポリシーへの影響を明らかにすることが目標になっています。Evaluation Task Forceは現行の開発活動やトライアルに参加しつつ、まずリソース証明書が持つ目標とその目標に現行のアプローチが適するかどうかを調査して報告することになっています。最終的には2007年5月に予定されている第55回RIPEミーティングで、導入の方向性について決定が行われることとなっています。

これは、これまで実装を行ってきたAPNICをはじめ、リソース証明書の効果に対して同様の疑問が投げかけられているARINコミュニティ、そして認証局に関する調査研究を行ってきた当センターにとっても注目に値する活動だと考えられます。というのも、RIPE NCCのデータベースはアドレスの割り振り/割り当て情報を登録するデータベースと経路に関する情報が登録されるIRRが統一されている上に、インターネットで経路広告されているアドレスとIRRの登録情報を比較する調査プロジェクトが行われてきているためです※4。これによって、RIPE NCCでは、登録されているにもかかわらず実際には使われていないアドレスを調べることができます。使われていないアドレスや登録情報と異なる経路広告の量がわかれば、リソース証明書が現状で何割程度のアドレスに対して発行できるのか、またそれらの管理が現実的なものなのかどうかがわかる可能性があります。

RIPEデータベースのセキュリティ機能に関して

RIPEデータベースには、ユーザーを認証したりユーザーが編集できる登録情報の範囲を限定するといったデータベースを保護する機能の他に、あるアドレスで起こったコンピュータインシデントに関する連絡先となるIRT(Incident Responce Team)の情報を提供するという、コミュニティのセキュリティを考慮した機能があります。

ここではRIPEミーティングの5日目に行われたDatabase WGの議論の中から、ユーザー認証の機能であるCRYPT-PWの廃止に関する提案と、IRT情報を提供するIRTオブジェクトに関する議論をご紹介します。

RIPEデータベースはLIRに対して四つの認証方式を提供しており、ユーザーは好きなものを選んで使用できるようになっています。現在提供されている認証方式は、CRYPT-PW、MD5-PW、PGP-KEY、X509で、CRYPT-PWとMD5-PWはいわゆるパスワード認証方式です。LIRがメールで申請業務を行う場合、送信するフォームの中であらかじめ登録されているパスワード文字列を記入します。パスワード文字列が正しければ、RIPEデータベースはユーザー本人によって送信されたと判断でき、申請内容のチェックに移ることができます。-PWの前についているCRYPTとMD5は、パスワード文字列をRIPEデータベースの中で処理する方式の名前です。CRYPTは昔のUNIXでパスワード文字列を隠蔽するために使われていた方式で、パスワードとして指定できる文字の長さは8文字です。一方、MD5はメッセージダイジェスト関数のMD5を用いた方式で、RIPEデータベースでは65文字のパスワードをつけることができます※5

今回の提案は、CRYPT-PWで利用できる文字列が短いために、ブルートフォース攻撃(総当たり攻撃)や辞書攻撃といった基本的な攻撃が通用してしまうため、今後この方式の利用を廃止しようというものです。既に第52回RIPEミーティングで基本的な方針についてはコンセンサスが得られており、今後はスケジュールについて検討したいとのことでした。しかし、約2,300のメンテナーでCRYPT-PWが使われているそうで、完全な廃止にはやや時間がかかりそうです。また変更手続きが間に合わなかったユーザーへの対応なども検討する必要があると考えられます。

一方、IRTオブジェクトに関する議論は潜在的な問題を抱えたままの提案となりました。今回の提案はWHOISを使って、あるIPアドレスを元にinetnumオブジェクトが検索された場合、検索時のオプションに-cが指定されていなくてもWHOISのサーバは関連するIRTオブジェクトを返すというものです。このことでWHOISでIPアドレスを調べるだけでIRTオブジェクトが自動的に表示されるようになります。このことはユーザーの観点では便利になるという意味でとてもよいことです。またIRTオブジェクトは一旦一つのメンテナーに対して定義しておけば、そのメンテナーによって管理されている割り振り/割り当て情報のすべてに対して適用されるという意味で、LIRにとっても利便性は高いと言えます。そのためRIPE NCCではIRTオブジェクトの利用を推奨しています。

IRTオブジェクトの普及に関する潜在的な問題は、abuse-mailboxという類似した連絡先情報の存在です。abuse-mailboxはinetnumやinet6numといった個々の割り振り/割り当て情報に付加される情報で、そのアドレスブロックにおける abuse(不正や不具合に対する連絡)用のメールアドレスが記載されています。abuse-mailboxは2004年1月の第47回RIPEミーティングで採用されたもので、それ以降多くのinetnum/inet6numで登録されてきました。一方、IRTオブジェクトは100程度に留まっており、利用されているものは60程度に留まっているようです。しかし両者共に効果が見えにくいことなどから、議論の余地が大きいため、RIPEのコミュニティの中でも扱いにくい話題になっているようです。

RIPE NCCでのヒアリングの結果、RIPEデータベースは、IPアドレスの割り振り/割り当て情報とIRRが統合されたシステムであるだけでなく、LIRがAS管理者に対して経路情報(routeオブジェクト)の登録認可する機構を備えていることがわかりました。この機構によって、IPアドレスの割り振り先とASの運用が別の組織によって行われていても、どのIPアドレスがどのASから経路広告されるのかが、絞り込めるようになっています。

他の組織によって間違った経路広告をされてしまうことで、本来は自分のネットワークで使われるべきIPアドレスが使えなくなってしまうことは“経路ハイジャック”と呼ばれています。これを検出し防止するためには、RIPEデータベースが持つ機構は有効です。この後の調査で、ARINのコミュニティでもIPアドレスとAS番号の組み合わせがわかる仕組みが提案されていることがわかりました。今後、機会がありましたらこれらの仕組みの違いや、JPNICでの取り組みについてご紹介したいと思います。

(JPNIC 技術部 木村泰司)


※1 RFC3779
http://www.ietf.org/rfc/rfc3779.txt
※2 Secure Border Gateway Protocol(S-BGP)
  --- Real World Performance and Deployment Issues
http://www.ir.bbn.com/sbgp/NDSS00.S-BGP.ps
※3 New or Significantly Developed Activities for 2007
http://www.ripe.net/ripe/draft-documents/gm-october2006/ap-2007.html#3
※4 Routing Registry Consistency Check Project
https://www.ripe.net/projects/rrcc/
※5 Crypted password generation
https://www.ripe.net/cgi-bin/crypt.cgi

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.