I-20-8. IPプロトコルに対する不正アクセスと対策

IPアドレスの偽造、経路制御の不正、IPソースルーティング、ルーズソースルーティングといったIPプロトコルを悪用した不正アクセスによるセキュリティリスクを紹介し、それぞれの内容と対策について解説する。

【学習の要点】

* IPプロトコルでは、通信相手の特定をIPアドレスに頼っているが、その通信相手が偽装されているかどうかの確認が困難であり、セキュリティリスクを抱えている。

* IPプロトコルはセキュリティリスクより利用するメリットが大きく、様々なリスク軽減措置を整えながら利用されている。

図I-20-8. IPアドレスの偽装

【解説】

1) IPアドレスの偽造

送信元IPアドレスを偽装したパケットを送出する攻撃手法。IPスプーフィングともいわれる。IPプロトコルではIPアドレスを元に経路制御を行うが、送信元IPアドレスは偽造が可能であるため、DoS攻撃パケットの大半はIPアドレスが偽造されている。現状根本的な対策はなく、IPよりも上位層のプロトコルにおいて、接続先の認証やファイアウォールを併用するのが望ましい。

2) IPソースルーティング

送信元がIPパケットの経路を指定する機能。通常は管理やテストのために用いられる機能だが、これを悪用した攻撃をソースルーティング攻撃といい、以下のようなものがある。

* プライベートアドレスホストへの侵入

プライベートIPアドレスを使用しているホストに対し、本来外部からはアクセスできないが、プライベートIPアドレスにアクセスできるルータをソースルーティングとして指定することにより、外部からのアクセスが可能となる場合がある。対策としては、IPソースルーティングが指定されているIPパケットをルータで破棄する方法がある。なお、このように経路の一部を指定するソースルーティングを、ルーズソースルーティングと呼ぶ。

* IPアドレス偽造との併用

送信元IPを偽造しても経路を指定しなければ本来のIPアドレスを持つホストに応答が返るが、IPソースルーティングが利用されている場合、応答パケットも偽造した悪意ある者に返され、IPアドレス認証等を無視した相互通信が可能になる。この理由により、多くの組織では、他ネットワークとの境界にあるルータで、IPソースルーティングを無効化している。

3) 経路制御の不正

IPルーティングはルータ同士が経路情報を交換することで成り立っている。ISP(インターネット接続業者)同士の経路情報の交換には、一般にBGPというプロトコルが利用されているが、その経路情報には正しさを証明する裏付けがなく、悪意を持った者が不正な経路情報を送り込むことが可能となっている。このような経路制御上のセキュリティリスクに対しては、以下のような対策、検討がなされている。

* IRR (Internet Routing Registry)

インターネットの経路情報やその優先性に関する情報を蓄積するデータベース。IRRでは経路情報に加えその経路が誰に管理されているかという管理情報も持つ。優先性に関する情報は、 あるISP(インターネット接続業者)が複数ネットワークと接続している際にどの接続からどのようなデータをどのように優先的に流すかという情報である。IRRは経路情報の信憑性を確認するのに有効である。

* soBGP、S-BGP

soBGP、S-BGPはともに、BGPを拡張した規格で、電子署名技術を利用し、経路情報の正当性を検証できる枠組を構築したものである。両者は電子署名の方式が異なっているが、いずれも既存のBGPからの段階的な移行が可能となっており、普及が検討されている。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。