BGP ハイジャッキングを止めろ:オランダ政府が RPKI を全面採用する理由を考える

All Dutch govt networks to use RPKI to prevent BGP hijacking

2023/04/09 BleepingComputer — オランダ政府は、2024年末までに RPKI (Resource Public Key Infrastructure) 規格を採用することで、インターネット経路のセキュリティを向上させる予定だという。RPKI (Resource Certification) は、経路を暗号的に検証することで、悪意の有無にかかわらず、誤った経路変更からインターネット・トラフィックを保護するものである。この規格では、デジタル証明書を使用して、経路情報の交換に使用される BGP (Border Gateway Protocol) を保護し、ディスティネーション経路の IP アドレスを制御する正当なネットワーク事業者を、トラフィックが経由することを確認するものだ。

すべてのICTシステムを対象としたRPKI

オランダの標準化フォーラム (Standardization Forum in the Netherlands) は、オランダ政府が管理する全ての通信機器 (ICT) で、2024年までに RPKI 規格を採用するよう求めている。この勧告を支持する政府は、新たに追加される ICT デバイスと既存のシステムで、この方針を採用すると、先週に決定した。

RPKI 証明書は一元的に保管され、公開されるため、世界中のネットワーク・プロバイダーがインターネットのトラフィック・ルートを検証できるようになる。RPKI を導入したネットワークは、許可された経路のみをインターネット・トラフィックが経由していることを確信できるため、中間者攻撃などによるデータの流用/傍受のリスクを排除できる。

RPKI がない場合の、インターネットのルーティングは、管理する正しい IP プレフィックスを主張する、ネットワーク事業者の信頼に依存している。しかし、このモデルでは、ある事業者が特定の IP アドレスのセットを扱っていると、偽って主張する場合に、別の経路を通るはずのトラフィックを受け取ることになる。

パフォーマンスへの影響 (ネットワークの遅延/混乱など) は別として、この信頼ベースのモデルは、トラフィックの傍受/監視/スパムメールなどのための、正当な IP アドレスの詐称を可能にする、悪意の BGP ハイジャックに扉を開くことになる。

BGP ハイジャックの一例として挙げられるのは、2019年にオランダの ISP である KPN のネットワーク・トラフィックが、2時間以上にもわたり China Telecom へと迂回されたインシデントである。

インターネット・トラフィックの再ルーティングは、ネットワーク事業者が他者の IP 空間をアナウンスしてしまうという、ミスコンフィグレーションでも起こり得る。2021年には、このようなインシデントにより、世界中の何千ものネットワークが混乱した。

RPKI 採用

オランダでは、すでに RPKI の採用率が高く、政府系 Web サイトの 77.9% および、メールドメインの 75.1% が、同規格をサポートしている。

Support for RPKI in the Dutch government networks (forumstandaardisatie.nl)

しかし、世界における RPKI の普及は、開発者や推進者が期待するよりも遅れており、tier-two ISP は遅れをとっている。

米国の NIST は、BGP ルーティング情報などの、各種のデータから抽出した RPKI エコシステムに関する情報を。リアルタイムで提供するライブ RPKI モニターを公開している。

2023年4月の NIST データによると、検証可能な IPv4 プレフィックス・オリジンペアの約 41% が RPKI に準拠し、無対応である 58% がルーティング・インシデントの影響を受けやすい状況にあり、1% がルートオリジン鍵に不一致/無効が生じていることが分かっている。

NIST historical data on PRKI adoption (NIST)

RPKI は、より安全で優れたインターネットに貢献するが、41% というレベルの採用率は、全世界のトラフィック・セキュリティの改善において、まだ長い道のりが残されていることを示している。

2020年初頭の RPKI 採用率は 18% であり、2021年1月には 27%、2022年初頭には 33.5% にまで伸びている。

2021年7月〜2022年7月に発生した事象を分析して取りまとめた、2022/11/04 の「ENISA Threat Landscape 2022 が公開:欧州のサイバー脅威を俯瞰する」でも、この調査の期間中において、BGP ハイジャッキングが発生したと指摘されています。なお、NIST の RPKI Monitor ですが、どのようにデータが参照できるかというと、毎日の4時間ごとでした。文中のグラフ以外にも、さまざまなデータが取れますので、よろしければ、お試しください。

%d bloggers like this: