ニュースレターNo.51/2012年8月発行

APRICOT 2012／ APNIC 33カンファレンス報告
全体および技術関連動向報告

APRICOT2012/APNIC33カンファレンスは、SANOG(South Asian Network Operators Group)やAPTLD (Asia Pacific Top Level Domain Association)ミーティングと共催の形で、2012年2月21日(火)から3月2日(金)の日程でインドのデリーにて開催されました。APRICOTは「Asia Pacific Regional Internet Conference on Operational Technologies」の略で、アジア太平洋地域のインターネットインフラを発展させるために、技術者に必要な知識や技術を向上させることを目的として開催されるフォーラムです。本稿では、これらのカンファレンスで特徴的だったことを、技術的/非技術的な内容を含めて報告します。

今回のAPRICOTカンファレンス全体への参加者は573名で、そのうちAPNIC33カンファレンスへの参加者は178名でした。昨年の同時期に開催されたAPNIC31ミーティングへの参加者は426名、APRICOT2011ミーティングへの参加者は1,171名だったことと比較すると、今回は前回の半数程度だったことになります。

参加者の国および地域別の集計では、43の国と地域となっており、前回の48の国と地域と比較しても同程度です。今回も、前回同様多くの地域から参加者が集まっていますが、人数自体は減少しています。

インドでのAPNICカンファレンスの開催は、2007年以来となる2回目です。ちなみに、APRICOTカンファレンスのインドでの開催は、今回が初めてです。デリー市にある会場のAshokホテルは、デリー中心部から少し離れた閑静な地域にあり、カンファレンス会場として適したロケーションだったと思います。会期中には、会場ホテルにおいて数度の停電が発生したことや、会場からインターネットへの接続性に時折問題が生じるなど、今後に改善が必要と感じられる部分も数点ありました。

今回のAPRICOT/APNICカンファレンスは、2011年のIANA/APNIC地域におけるIPv4在庫枯渇後から、1年が経過したタイミングでのカンファレンスであり、実際にIPv6を使用する際の懸案事項や予測される問題等、IPv6を考慮したセッションが昨年以上に多く用意されていました。

また特筆すべき事項としては、次の二つが挙げられます。まず、今回のカンファレンスにおいてインド政府のNIXI(National Internet eXchange of India)を母体としたIRINN (Indian Registry for Internet Names and Numbers)が、新たな国別インターネットレジストリ(NIR; National Internet Registry)として、APNIC理事会(EC)において承認されました。また、ECメンバーのうち改選対象となる半数の任期満了に伴う選挙が行われ、現職であるChe-Hoo Cheng氏(香港)、Ma Yan氏(中国)、JPNICの前村昌紀の3名が、今後2年の任期に向け選出されました。

APOPSセッションの報告
- APOPS Plenary

APOPSは「Asia Pacifi c OPeratorS forum」の略称で、環太平洋地域のインターネット運用者を対象とする情報交換と交流のコミュニティです。APOPS のPlenaryセッションは、毎回のAPNIC/APRICOTカンファレンスにおいて開幕直後に設定されていて、年間の動向や注目すべきテクノロジーについて共有と報告がなされます。

今回のAPOPS Plenaryは、二つのセッションが提供されていました。ここでは、その中から前半のセッションである三つのプログラムについて報告します。

初めに、APNICのGeoff Huston氏から、「BGP and DFZ(Default Free Zone)」と題して、IPv4とIPv6のルーティングテーブルの動向について報告がありました。発表では、IPv4の経路数について、昨年2011年のAPNIC地域におけるIPv4アドレス在庫枯渇までは急激な経路数の増加が観察されましたが、枯渇後の増加は鈍化したことから、年間を通しては2011年の約34万経路と比べて2012年は約39万経路となり、15％増と過去の増加傾向と同程度となりました。また、IPv6の経路数については、昨年6月のWorld IPv6 Dayの直前に急激な経路数増加が観察されたものの、それ以後の伸びは緩やかになっていることも共有されました。とはいえ積算すると、IPv6経路数の2011年1月と2012年1月の比較では4,000経路から7,500経路と、88％の経路数増加となっていることがわかりました。

Huston氏の予想では、IPv4経路数は過去のデータからO(2)の多項式オーダーによって経路数が増加するとされ、2016年には545,000経路がインターネットにて経路交換されるであろうこと、IPv6についてはいまだ過去の情報蓄積が少ないことから予想は難しいとの前提において、2016年には28,300経路になるとの予測が示されました。

次に、株式会社インターネットイニシアティブ(IIJ)のRandy Bush氏から、RPKIとその利用技術の最新動向として「The RPKI, Origin Validation, ＆ BGPsec」が発表されました。Bush氏の発表では、経路情報を守るためには三つの要素が必要であるとされ、その三つの要素である「RPKI」「Origin Validation」「AS-PATH Validation」について説明がされました。RPKIについては、地域インターネットレジストリ(RIR; Regional Internet Registry)では、昨年2011年にサービスが開始されたこと、Origin Validationは、2012年には実際にRPKIを参照し、ルータによってOrigin ASの検証が可能となること、AS-PATH Validationに必要なBGPsecは、もう少し時間が必要であることが共有されました。

Bush氏のプレゼンテーションでは、実際にルータのConfigではどのようにRPKIと関係するのか、具体的な設定例と状況を示すコマンドの結果表示などが示され、RPKIとルータの関係が具体的にわかりやすく説明されていました。また、現在1社からのみ提供されているOrigin Validation へ対応したルータが、2012年の第2四半期には別のルータベンダーからも提供されることと、Origin Validation へ必要な時間として、BGP Update メッセージ毎に10μ秒での処理が可能であり、IRR(Internet Routing Registry)からアクセスリストを生成することと比較して、Origin Validationの方がより速く処理が可能であることがまとめとして挙げられていました。

最後に、インターネットに関する調査を行っているRenesys社のRajeev Meharwal氏から、2011年11月7日(月)に発生した経路制御上の重大インシデントについて報告されました。なお、APOPSセッションは原則ストリーミングによる遠隔からの視聴と参加が可能でしたが、本プログラムについてのみ、ストリーミングを停止して発表されました。

Meharwal氏からは、2011年11月7日の14時09分には自社において問題を把握したこと、現象としては7.4％の自社とのBGPピアがリセットされたことが報告されました。

ここ数年、インターネットの経路に問題が発生したきっかけとしては、一部のルーティングソフトウェアの問題により、長大なAS-PATHを持つBGP Updateメッセージが送出されインターネット全体が不安定になった例や、4 octed AS PATHの実装に問題があった例、実験として特殊な属性を持つBGP Updateメッセージを送出したため、たくさんのインターネット上のBGPピアがリセットした問題などが知られています。

しかしながら、今回のインシデントはこのような過去の現象とは異なる原因であったことが述べられ、Tracerouteや日常の保管データから予測すると、本現象の引き金となった被疑ASは3組織に絞ることができ、そのほかの状況証拠から、被疑ASのうちの一つの組織が行った設定が、特定のルータの通常処理に影響を与えることがわかったと結論付けられました。Meharwal氏は、可能であればルータベンダーはどんな状態でも再起動を繰り返すような実装は避けてほしいと述べ、APOPS Plenaryの前半が締めくくられました。

APOPS Plenaryでは、このようにカンファレンスの最初に1年を振り返り、その後のプログラムへ参加するための準備となる内容が毎回提供されています。

そのほかの注目プログラム
- Security セッション

APRICOTのSecurityセッションでは、インターネットオペレーションに特に関係する話題として、IPv6に関係したインシデントについて情報共有と分析がされました。

米国の非営利組織で、情報セキュリティに関する調査や分析を行っているTeam Cymru のCecil Goldstein氏からは、すでにIPv6によるDoS攻撃が発生している事例が紹介され、IPv6の世界においても徐々にIPv4と同様に攻撃者の対象となっていることが報告されました。

特に、IPv6を用いたメール送信を考慮すると、IPv6上のスパムメール対策はIPv4と比較した場合、さらに困難になることが予測されると述べられました。インターネット運用者はIPv4/IPv6の移行と共存に時間を割かれるため、スパム対策は手薄になるであろうことや、IPv6/IPv4共存技術のトンネルやIVIはスパマーの送信アドレスを隠蔽してしまうこと等から、スパム送信者にとっては、IPv4/IPv6移行期は好機ととらえられていることが懸念とされました。

Goldstein氏は、次世代のスパム送信者との戦いにおいては、

キャリアでのSourceアドレスフィルタを適用すること
IPv4のようなレピュテーションシステムを構築すること

が必要と締めくくりました。

最後に参考情報として、DoSaaS (DoSasa Service)と称し、DoS攻撃を専門に請け負う組織の調査状況についても紹介されました。これらのDoSでは、「24時間365日」などと宣伝されていて、Goldstein氏の調査では、攻撃対象1アドレスにつきUS＄300程度で請け負われていることなどが会場へ共有され、セッションが終了しました。

Securityセッション以外にも、次のようなトピックでさまざまなセッションが用意されていました。ご興味のある方は、以下のURLをご参照ください。