メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.43/2009年11月発行

経路ハイジャック情報通知実験 ~開始から1年が経過して~

はじめに

JPNICでは、JPIRRの利用促進と普及策の一つとして、財団法人日本データ通信協会 テレコム・アイザック推進会議(Telecom-ISAC Japan)から情報の提供を受け、経路ハイジャック情報の通知実験を2008年5月から実施しています※1

この通知実験は、Telecom-ISAC Japanの運営する経路ハイジャック検知システム「経路奉行」とJPIRRが連携して実施されるものです。具体的には、経路奉行がJPIRRの登録情報と異なる経路情報を「経路ハイジャックが疑われる状況」として検出し、JPNICが経路奉行の検知結果を、希望するJPIRR登録者へ通知します。

実験開始から1年が経過し、JANOGでのプロモーションや経路ハイジャック情報の通知を受けたユーザーへのヒアリングを通して、実験の効果とユーザーの要望がわかってきました。

本稿では、経路ハイジャック情報通知実験の概要と、現在までの状況に加え、今後の実験の方向性を説明します。

JPIRRの普及活動

JPNICでは、JPIRRの普及活動として、JPNICが割り当てたASに対するJPIRRへの情報登録のお願いや、一定期間更新の無い登録情報の通知と登録情報の自動削除などを実施しています。

このようなJPIRR登録者へのプロモーションの他に、JPIRRを利用した高度な経路制御に関する応用例を期待し、JPIRRを参照したいユーザー・組織を対象とした、JPIRRの登録情報全体を提供する、“ミラーリングサービス”も実施しています。

今回の経路ハイジャック情報通知実験は、このミラーリングサービスを利用したJPIRRの応用実験となります。

以下に、現在行っている経路ハイジャック通知実験の概要を解説します。

Telecom-ISAC Japan 経路奉行とJPNIC JPIRR間連携の経緯

今回の経路ハイジャック通知実験は、Telecom-ISAC Japan 経路情報共有ワーキンググループ(BGPWG)において運用中の経路奉行の取り組みを一部、JPIRRのユーザーに提供する仕組みとなっております。

経路奉行とは、会員ISPをはじめとする日本国内ISPから提供されたBGP経路情報を基に、インターネット運用に支障を来す異常な経路情報を監視する、経路ハイジャック監視システムです。

経路奉行は、2005年から運用を開始しており、この経路奉行がBGP経路情報と比較参照する経路の台帳として、JPIRRが利用されています。

通知実験の動機

JPIRRでは、目的の一つとして日本の正確な経路台帳を維持することをめざしており、この目的実現のための機能の一つとして、一定期間更新されない登録情報の更新をユーザーへお願いし、更新されない登録情報の自動削除機能を実装しています。

しかしながら、JPIRRに登録された情報の正確性を上げるためには、この取り組みだけでは不十分で、新規に利用する経路情報を登録してもらうことや、利用しなくなった経路情報の削除をユーザー側で実施することが必要です。

このような、経路情報の登録更新を促す方策の一つとして、経路ハイジャックが疑われる状態の通知実験を実施することとなりました。

経路奉行では、実際の経路情報とJPIRRの情報を比較します。例えば、あるAS番号をOrigin ASとする経路情報に対して、別のAS番号をOrigin ASとする経路広告が行われたとします。この場合、経路奉行は、JPIRRへ登録された経路情報と異なるOrigin ASを持つ経路情報を検知し、ハイジャックが疑われる状態として検出することが可能となります。このJPIRRを利用した、“ハイジャックが疑われる状態”をJPIRRユーザーへ通知するという点が、JPIRRの新しい利用方法であり、JPIRR登録者のメリットの一つとなります。

連携開始後の成果

2007年から実験開始の準備を行い、2008年5月21日から経路ハイジャック通知実験を開始しました。実験開始後から、登録・更新回数の増加や、そもそものJPIRRへの新規登録希望ASの増加も見られました。

2009年5月で実験開始から1年が経過し、JPNICでは、実際に経路ハイジャックが疑われる状態の通知後のユーザーへ、通知を受けての行動や感想をヒアリングすることができました。

ハイジャック通知を受けたユーザーには、当初期待したオブジェクト登録に対する刺激効果の他に、当初想定しなかった効果があることや、新たな問題が発生していることを把握することができました。

パンチングホールの検知(当初想定していなかった効果)

通常、ISPはPAアドレス(Provider Aggregatable Address)※2の一部を切り出し、エンドユーザーへ提供します。このPAアドレスは、本来割り振りを受けたISPのみで利用されますが、今回の実験で、エンドユーザー側でPAアドレスの一部分を別のISPから経路広告する、パンチングホールを検出することができました。このような事例は、本来PIアドレス(Provider Independent Address)※3を利用すべき事例とも言えます。しかしながら、リナンバの手間や、費用の点で問題も多いため、実際には、ISP間で調整を行ってから実施されることが多い事例であり、本実験によって、事前に調整されていないケースを検出できるという効果が確認されました。

ハイジャック発生時の対処方法が不明(新たな問題)

通知を受けたユーザーにとって、「実際に経路ハイジャックをされた場合、どのような行動をとるべきか」という情報が不足していると指摘がありました。確かに、経路ハイジャック発生から対処、回復までの手順を網羅的にまとめた情報は存在していないため、このような情報をどうやってまとめていくかは今後の課題となっています。

これからの通知実験

経路ハイジャック通知実験は、まだ開始したばかりであり、ユーザーの皆さんの要望・指摘を取り入れ、当初の期待であるJPIRRの情報が正確になることを目指していきます。2009年中には、以下の機能拡充を実施し、ユーザーの登録更新意欲をさらに刺激したいと考えています。

ハイジャック発生時の対処方法

経路ハイジャックが発生した場合の対処方法を明確にすることは、個々のASの事情や、経路制御ポリシーが複雑に絡むため難しい問題です。今後はJPNIC単独ではなく、コミュニティと一体となって経路ハイジャック発生時の対応ケーススタディを収集し、個々の事例を公開することによって、経路ハイジャック発生時のヒントとなるような情報を提供する予定です。現時点では、JPNICのWebにて、経路ハイジャックが疑われる状態が発生した時の対応について、簡単にまとめたページを公開しています。※4

付加機能の実装

経路ハイジャック情報の通知には電子メールを利用しているため、電子メールアドレスをJPIRRへ登録する必要があります。現在のJPIRRサービスではこの情報も公開される仕様のため、この通知先電子メールアドレスの隠蔽機能追加を予定しています。

これからのJPIRR

JPIRRのサービスでは、経路ハイジャック通知実験以外にも、レジストリ情報と連携した経路情報登録認可機構との連携など、新たな方策を実施し、インターネットレジストリとしてインターネットの健全な運営に、さらに貢献したいと考えております。

参考資料

JANOG JPIRR関連資料

「JANOG19 経路奉行 with JPIRR」
http://www.janog.gr.jp/meeting/janog19/files/irr.pdf
「JANOG18 経路ハイジャックについて考える」
http://www.janog.gr.jp/meeting/janog18/files/Hijack_Watanabe.pdf
「JANOG17 JPIRRの現状とIRRセキュリティ」
http://www.janog.gr.jp/meeting/janog17/abstract.html#p12
「JANOG16 あっ!IRR」
http://www.north.ad.jp/~kawai/janog16/janog16-202p1.pdf

JPNIC News & Views

vol.373 JPIRRサービスの正式サービス化について
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol373.html
vol.63 [特集]IRRとは何か
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2003/vol063.html

JPNIC ニュースレター

No.34 特集1「JPIRRサービス正式サービス化」
http://www.nic.ad.jp/ja/newsletter/No34/0210.html
No.27 インターネット10分講座「IRR」
http://www.nic.ad.jp/ja/newsletter/No27/100.html

JPIRRの資料

「第28回JPNIC総会 JPIRRのサービス提供について」
http://www.nic.ad.jp/ja/materials/general-meeting/20060303/shiryou1-1.html
http://www.nic.ad.jp/ja/materials/general-meeting/20060303/shiryou1-2.pdf
「JPNICにおけるIRRサービスに関する検討報告書」
http://www.nic.ad.jp/ja/materials/irr/irr-report-2003.html
「連携実験のお知らせ経路ハイジャック(が疑われる状態)の通知実験」
http://www.nic.ad.jp/ja/ip/irr/jpirr_exp.html

(JPNIC 技術部 岡田雅之)


※1 「経路ハイジャック情報通知実験」開始のお知らせ
http://www.nic.ad.jp/ja/topics/2008/20080521-02.html
※2 PAアドレス(Provider Aggregatable Address:プロバイダ集成可能アドレス)
以前はCIDRアドレスと呼ばれていたIPアドレスです。インターネットレジストリの階層構造(IANA>RIR>LIR)に従い上位レジストリから階層的に分配されます。現在インターネット接続を行う場合、接続する直近上位のIPアドレス管理指定事業者からPAアドレスの割り当てを受けることになります
※3 PIアドレス(Provider Independent Address:プロバイダ非依存アドレス)
以前は、非CIDRアドレスと呼ばれていた、IPアドレス指定事業者に割り振られた空間以外から割り当てられたIPアドレスです。
※4 経路ハイジャックが疑われる状態発生時の対応について
http://www.nic.ad.jp/ja/ip/irr/counter-hi-jack.html

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.