BGPはまだ安全ではないのか

 (isbgpsafeyet.com)
2 ポイント 投稿者 GN⁺ 27 일 전 | 1件のコメント | WhatsAppで共有
  • インターネットの中核ルーティングプロトコルである BGP(Border Gateway Protocol) は経路選択機能を担うが、セキュリティ検証機能が組み込まれていない
  • このため、誤った経路情報が伝播すると トラフィックの乗っ取りや大規模障害 が発生する可能性があり、これを防ぐために RPKI(Resource Public Key Infrastructure) が導入された
  • RPKIは経路の真正性を暗号学的に検証し、誤った経路を「invalid」と判定して遮断できる
  • Cloudflareは世界の主要ISPとトランジット事業者のRPKI適用状況を追跡・公開しており、一部事業者は依然として「unsafe」の状態にある
  • すべての主要ネットワーク事業者が RPKIとフィルタリングを完全導入してこそ、インターネットのルーティングは安全になり得る

BGPはまだ安全ではないのか

  • Border Gateway Protocol(BGP) はインターネットの「郵便サービス」のようなもので、データが移動できる経路の中から最適な経路を選ぶ役割を担う
  • しかし セキュリティ機能が組み込まれていないため、誤った経路情報が伝播すると大規模なインターネット障害やトラフィックの乗っ取りが発生する可能性がある
  • これを解決するために Resource Public Key Infrastructure(RPKI) という認証の仕組みを導入すれば、経路の真正性を検証できる
  • 複数のグローバルISPやトランジット事業者がRPKIを導入しており、Cloudflareはその状況を追跡して公開している
  • すべての主要ネットワーク事業者がRPKIを採用してこそ、インターネットのルーティングは安全になり得る

最新アップデート

  • 2026年2月3日、グローバルTier-1トランジット事業者 Sparkle(AS6762) がRPKI-invalidプレフィックスを拒否
  • 2025年10月1日、スロバキアの主要トランジット事業者 Energotel(AS31117) がRPKI-invalid経路のフィルタリングを開始
  • 2025年8月28日、カナダの大手ISP Bell Canada(AS577) がネットワーク内でRPKI-invalid経路をフィルタリング
  • 2024年2月22日、欧州最大級のISPの1つである Deutsche Telekom(AS3320) がグローバルネットワークにRPKI Origin Validationを適用
  • 2024年1月24日、米国の Verizon(AS701) がネットワーク全体にRPKI Origin Validationを完全展開

主要事業者の状態

  • Cloudflareは31の主要事業者の RPKI署名およびフィルタリング状況 を公開
  • Lumen、Arelion、Cogent、NTT、Sparkle、Hurricane Electric、GTT、TATA、Zayo、Vodafone などの主要トランジット事業者はすべて 「safe」 状態
  • Comcast、AT&T、Verizon、Deutsche Telekom、KPN、Swisscom、Bell Canada などの主要ISPも 署名とフィルタリングを完了
  • 一部事業者(Google、IIJ、OCN、Vivacom など)は部分的にのみ適用されており、「partially safe」 に分類
  • China Telecom、KT、SK Broadband、TurkTelekom、Vodafone DE、PLDT、IBM Cloud、OVH などは依然として 「unsafe」 状態にある

BGPハイジャックとは

  • インターネットは数千の 自律システム(AS) で構成された分散ネットワーク構造
  • 各ノードは自分と直接接続されたノードから受け取った情報だけを基に経路を決定する
  • BGPハイジャック とは、悪意あるノードが誤った経路情報を広めてトラフィックを横取りする行為
  • セキュリティプロトコルがなければ、この誤った情報が世界中に拡散し、誤った経路へデータが送られる可能性がある
  • RPKI は暗号学的検証によって、こうした誤った経路を 無効化して遮断 できるようにする

RPKIの役割

  • RPKI(Resource Public Key Infrastructure) は、経路と自律システムを暗号学的に結び付けて検証するセキュリティフレームワーク
  • 80万件を超えるインターネット経路を手動で検証するのは不可能なため、RPKIがこれを自動化する
  • RPKIが有効化されると、誤った経路情報が伝播してもルーターがこれを 「invalid」と判定して拒否 する
  • Cloudflareのブログでは、RPKIの動作原理と展開事例を詳しく説明している

BGPが安全でない理由

  • 基本的にBGPには セキュリティプロトコルが組み込まれていない
  • 各自律システムが独自に 誤った経路のフィルタリング を実施しなければならない
  • 経路リーク(route leak)は設定ミスや悪意ある行為によって発生し、インターネットの一部を 接続不能な状態 にする可能性がある
  • BGPハイジャック はトラフィックを別のシステムへ誘導し、情報窃取や盗聴 を可能にする
  • すべてのASが 正当な経路のみをアナウンスし、フィルタリングを実施 して初めて安全なルーティングが可能になる

テスト方法

  • Cloudflareは、ISPが安全なBGPを実装しているかをテストする機能を提供
  • 正当だが 意図的に「invalid」と表示された経路 をアナウンスし、ユーザーがそのWebサイトにアクセス可能かを確認する
  • アクセス可能であれば、そのISPが 誤った経路を受け入れている ことを意味する

追加のセキュリティへの取り組み

  • ネットワーク運用者と開発者は、安全でないルーティングプロトコルを改善するための標準化作業 を進めている
  • Cloudflareは MANRS(Mutually Agreed Norms for Routing Security) イニシアティブに参加
    • MANRSはルーティングインフラを強化するためのグローバルコミュニティで、会員はフィルタリングメカニズムを実装することに合意している
  • 参加事業者が増えるほど、インターネット全体の ルーティングセキュリティ水準が向上 する

ユーザーにできること

  • isbgpsafeyet.com のページを共有して、RPKI導入の必要性を広く知らせることができる
  • 自身の ISPやホスティング事業者にRPKI導入とMANRS参加を要請 する
  • 主要ISPがRPKIを採用してこそ、インターネット全体が安全になり得る
  • Cloudflareは「インターネットが安全になれば、誰もが利益を得る」というメッセージを強調している

関連記事

1件のコメント

 
GN⁺ 27 일 전
Hacker Newsの意見

  • RPKIはBGPを完全に安全にするものではなく、単により安全にするだけである
    依然としてBGPハイジャックは可能であり、RPKIはプレフィックスの所有権しか検証せず、経路そのものは保護しない
    攻撃者は依然として被害者ASへの経路上にいるふりをして、トラフィックを横取りできる
    これを解決するために提案されたBGPSecは、現実的には展開が難しいと評価されている

    • BGPのセキュリティ問題を解決する方法としてProof-Carrying Dataが提案されている
      各メッセージが正しく生成されたことを示す暗号学的証明を含む方式で、ネットワーク規模やホップ数に関係なく検証時間が一定である
      BGPは遅延がクリティカルではなく、プロトコルも単純なため、このアプローチは現実的かもしれない
      詳細はrot256.devの記事を参照
      RPKIは依然として必要だが、BGPSecは不要になる
    • 現在この問題を緩和しようとする取り組みとしてASPAがある
      まだ先は長いが、主要機関が参加している
      IETFドラフトへのリンク
    • RPKIはプレフィックス所有権を検証可能にするが、経路は依然として信頼ベースである
      検証しやすい部分だけが強化されたような印象である
    • 「安全」という理想的な状態は不可能である
      結局、すべての暗号システムは人間が運用するレジストリや機関への信頼に依存している
      RPKIがないよりはましだが、「これでもう十分安全だ」というような解釈は危険である

  • 主要な米国ISPやモバイル事業者がこの機能をサポートしているのを見ると、かなり普及率が高そうに見える
    しかし、「安全」と呼べるほど十分なISPがどの程度必要なのか、地域差があるのかは気になる

    • 主要なトランジットISPがすべて導入すれば十分だと思われる
      非RPKI経路がトランジットを通過できなければ、自然に無意味になる
    • 実際には4社どころか、はるかに多い254事業者が「unsafe」と表示されている
      全一覧は「Show all」を押さないと見えない
    • 英国のSkyを使っているが、「unsafe」と表示される
      国別・事業者種別でフィルタできる表があるとよい
    • T-Mobile USAはテスト結果が通過と失敗の両方が表示されていて混乱する
    • British Telecom、NTT Docomo、Vodafone Espana、Starlink、Rogersなど主要事業者も「unsafe」と出る
      31社だけが安全というのは、あまりに楽観的な見方である

  • Cloudflareが作ったサイトだという点が皮肉である
    2026年にインターネットを壊す可能性が最も高い主体かもしれない

    • 最近の企業は、自社に有利な方向へ大衆を説得するキャンペーンを張るのが一般的である
      RPKIが利益になるなら「インターネットの安全のために必須の技術」だと宣伝し、
      身元確認が必要なら「児童保護」を掲げる
      この種のマーケティングは、ワクチン、武器、たばこ業界でも繰り返されてきた

  • RPKIはもはや単なるROAではない
    BGPハイジャックは最初のホップや最後のホップ以外の地点でも発生し得る
    サイトはASPA-invalidプレフィックスもテストするよう更新されるべきである

  • Free SAS ISPは「unsafe」と表示されるが、実際のテストでは成功になる
    valid.rpki.isbgpsafeyet.comでは有効なプレフィックスを、
    invalid.rpki.isbgpsafeyet.comでは無効なプレフィックスを正しく処理する

  • ISPが表ではunsafeと表示されるが、テストでは安全だと出る

    • 表の最終更新が2月3日なので、その間にRPKIが導入されたようだ

  • 攻撃者がトラフィックを悪意あるサイトへルーティングするグラフィックはやや誤解を招く
    SSL証明書が有効でなければブラウザが遮断するため、実際の被害は限定的である
    ただし、**サービス拒否攻撃(DoS)**用途では依然として悪用可能である

    • 宛先を掌握した攻撃者は、Let’s Encryptなどで有効なSSL証明書を取得できる可能性もある

  • RPKIとASPAは他ネットワークから見ればより安全にしてくれるが、レジストリ依存性を高める
    もし自国が制裁を受けてレジストリへのアクセスが遮断されれば、記録を更新できなくなる

    • 実際には、レジストリは以前から番号割り当てを取り消すことができた
      RPKIはその権限をより強力にしただけである
      私たちは結局IANAの承認の下でネットワーキングしているのであり、
      これを抜け出すにはASNとIP割り当ての仕組みを完全に再設計しなければならない

  • BGPが本当に安全になるのは、それを捨ててSCIONを使うときだと思う
    SCIONのWiki記事を参照

    • しかしSCIONは、ネットワーク運用者の間ではsnake oilと見なされている
      単一ベンダー中心の構造、ASIC未対応、ブロックチェーンやグリーンウォッシングなどで信頼を失っている
      スイスでは実験中だが、業界全体では真剣に受け止められていない
    • 本当に安全にするには、Yggdrasilのような新しいルーティング構造へ進むべきである
      Yggdrasilプロジェクトを参照
    • なぜこうした移行がまだ起きていないのか不思議である

  • RPKIはBGPを少しだけ安全にするにすぎず、完全な解決策ではない
    一部のハイジャックは防げるが、依然として信頼ベースのシステムを暫定的に継ぎ足しているだけである