gihyo.jpサイトのロゴ

IPv6対応への道しるべ

第10回IPv4アドレス移転と「汚れたIPv4アドレス」

2012-11-07

インターネットマルチフィード 吉田友哉氏
インターネットマルチフィード 吉田友哉氏

IPv4アドレス中央在庫が枯渇し、インターネットを利用した事業者にとってIPv4アドレス確保が非常に大きな課題になりつつありますが、それにともない徐々にIPv4アドレス移転の事例が増えています。

第10回は、移転元のIPv4アドレスが過去にどのような使われ方をしていたのかが重要な要素となり得るというお話を、インターネットマルチフィード株式会社 吉田友哉氏に伺いました。

「汚れたIPv4アドレス」1.0.0.0/8問題とは?

前半は、IPv4アドレス移転とは直接関係がない1.0.0.0/8の話ですが、1.0.0.0/8が何故問題となったのかを理解することで、IPv4アドレス移転時の「IPv4アドレスの使われ方」に関して理解しやすくなると思い、質問してみました。

─⁠─1.0.0.0/8で発生するかも知れない不具合の調査に関して教えてください。

1.0.0.0/8は他の/8と非常に大きく異なっています。1.0.0.0/8がAPNICに割り振られたのが約3年前になりますが、それまで、どの地域に1.0.0.0/8が割り振られるのかが話題でした。1.0.0.0/8は、かなり特殊なIPアドレスで、グローバルIPv4アドレスなのですが、組織内ルーティングして使ってしまっているISPもあります。

そんな事情もあって、1.0.0.0/8をISPに本格的に払い出す前にちゃんと調べましょうといって、当時APNICが/8の経路を流して調査しました。当時はそのプロジェクトに関わっていなかったのですが、日本での影響も調べる必要があるということで、Geoff Hustonに相談し、共同で調査を行いました。/8が残り少なかったので、重要なミッションでした。

調査時に1.0.0.0/8向けに送信されていたトラフィックの量
調査時に1.0.0.0/8向けに送信されていたトラフィックの量
─⁠─そのときに、何がどのように発見できましたか?

当時の1.0.0.0/8を調べてみると、明らかにパケットの量として多く観測されたのが1.1.1.1や1.2.3.4などでした。その他、設定を行う人が思いつきやすいと思われる、1.4.0.0や1.8.0.0や1.16.0.0や1.32.0.0なども多く利用されていました。

そのような運用がされているネットワークから、意図せずにパケットが流れ出していました。それらのネットワークから、経路は流れていないけど、パケットが出て来てしまっているといった感じです。

また、インターネットからのスキャン攻撃等で、そういったわかりやすいIPアドレスへの攻撃パケットなども多く観測されました。実験的に1.0.0.0/8の経路を流すことで、そういったパケットが収集できました。

─⁠─経路を流すことで、「誰かが何かに使っている」ことがわかったということですね?

はい。そういった経路を広告することで、新たにそれらのIPv4アドレスを使った人が受ける影響を調べることが目的でした。

こうした影響としては、意図しないパケットを受け取ってしまう問題と、1.0.0.0/8のアドレスが相手側のISP内でローカルに利用されていて戻りパケットを受け取れないという2つの問題があります。

1.0.0.0/8に関しては、他のIPv4アドレスとは明らかに傾向が違っていたので、いくつかのIPv4アドレスは/16単位でユーザに払い出すのを一時保留しました。しかし、枯渇間際になったときに、/16を20個ぐらい埋め殺しにするのはもったいないので、APNICアドレス在庫枯渇寸前に再試験を行ったうえで、より細かいアドレスブロックに区切って、大丈夫そうなアドレスに関しては払い出しました。

─⁠─1.0.0.0/8は、大手ルータベンダマニュアルやbindなどのソフトウェアの設定例として記載されていたんですよね?

はい。昔のマニュアル等に記載されていました。今もまだたくさん残っていると思います。それを見て、そのままフィルタを書いたりすると、1.0.0.0/8というグローバルIPv4アドレスをフィルタしてしまうことになります。そのフィルタの影響で、正しく使いたくても使えないユーザが出てしまうという問題があるアドレスです。

─⁠─ただ現実的にどこまでドキュメントアドレス等に書き換えるのがよいのでしょうか?

bogon filterの設定例などに記載されているのはまずいでしょうけど、サンプルコンフィグとして、人が理解しやすいアドレスで書かれているものや、そもそもサンプルネットワークが大きすぎて、ドキュメントアドレスで記載ができない場合には、プライベートアドレスなどを使うことになるんでしょうけど、逆にプライベートアドレスをグローバルアドレスと混在して表現すると、よりわかりにくくなったりしますよね。そのあたりは一長一短かなと思います。

─⁠─最近、私のWebサイトへの1.0.0.0/8からのアクセスが結構あります。

はい。日本のモバイルキャリアにも払い出されていますし、現在、アジア各地でも広く使われています。さまざまな調査や普及活動が行われた結果、今はきちんと使えているということだと思います。

IPアドレスの「過去」と価値

─⁠─その他、当時の調査でわかったことはありますか?

APNICに割り振られた1.0.0.0/8以外の/8アドレスもいくつか調べたのですが、1.0.0.0/8と比べると、他の/8アドレスのパケット量は明らかに少なかったです。ただ、36.37.38.39や101.102.103.104などのわかりやすいIPアドレスに対してはそれなりに攻撃パケットが多く観測されてましたね。

その他にわかったのが、アドレスによってスキャン等の攻撃を受けやすいかどうかが違う場合があるということです。

たとえば、Conflickrというワームがありますが、それを狙ったコードは、どうやら/8の前半の/9に対しスキャンをするようで、IPv4アドレスのレンジによってConflickrによるスキャンを受ける度合いが変わって来るということがわかりました。それ以外にも、各ワームごとに特色があるようです。

Conflikrの攻撃によるトラフィックのパターン、前半の/9アドレスに攻撃が集中
Conflikrの攻撃によるトラフィックのパターン、前半の/9アドレスに攻撃が集中 Conflikrの攻撃によるトラフィックのパターン、前半の/9アドレスに攻撃が集中 Conflikrの攻撃によるトラフィックのパターン、前半の/9アドレスに攻撃が集中

このように、IPv4アドレスはブロックによって随分と品質が違うというのがあります。そうであれば、可能な限りアドレスを払い出す前に、どういう状況か確認しましょうということを行いました。あまりに酷いIPv4アドレスブロックは、それを利用するユーザのリスクやインターネット全体へ与えるリスクをおさえるために、払い出さないようにしました。これは、1.0.0.0/8の調査から派生した取り組みでした。

そのため、とくに枯渇間際にIPv4アドレスの割り振りを受けた人は、⁠このIPv4アドレスには注意が必要です」という注意を受けつつも受け取っている人が多いかもしれません。調査結果を伝えた上で払い出しを行うということに最近はなっていると思います。

現在では、このRQA(Resource Quality Assurance)という、IPアドレスを払い出す前に事前にそのIPアドレスの品質を確認するというプロセスを経て払い出しが行われます。

─⁠─IPv4アドレスの移転に対してもRQAが行われますか?

現時点では、レジストリとしては、そこに関与することはおそらくありません。しかし、IPv4アドレス移転を受ける時に、そのIPv4アドレスブロックが本当に奇麗に使われていたのかどうかや、過去の使われ方が、やはり気になると思います。そのため、誰かがそこを仲介した方が良いのかも知れないとは思います。

─⁠─実際にどうするかですが、どうするんですかね?

スコアリングを第三者が提供するなどの方法は考えられますが、それをもとに受け取る側が判断をできるようにするとかですかね? あるいは、IPv4アドレスを受け取る側が自分で調査をするということになるのだろうと思います。

受け取る側が確認できる内容としては、たとえば、RBLに掲載されていないかどうかなどがあげられます。その他、過去に攻撃されたIPアドレスブロックをWebサーバ等でフィルタリングしている場合もあります。

─⁠─過去に経路広告が行われていたかどうかという情報も判断材料になり得ますか?

過去に払い出されたIPv4アドレスを、割り振りを受けた組織が使っていなかったとしても、それが不正利用されていた可能性もあり得ます。たとえば、IANAがRIRに割り振る前のIPv4アドレスブロックを勝手に使ってスパム等の送信を行っていたような事例もあります。

過去のBGPアップデートを調べていって、全然違う組織から経路が流れている一方で、正式に割り振りを受けた組織にとってはその経路が意図しないものであれば、何でそういう状況になっていたのかを調べた方が良いと思います。

画像
─⁠─そういった変な使われ方をしているIPアドレスはよくある話ですか?

たとえばRouteViewなど、いまは世界中でBGP情報をダンプして監視する体制ができあがっているので、あまりに不自然な経路は即座に発見されてしまいます。

そのため、勝手にIPアドレスブロックが使われるというのは、さほど多い話でははいと思います。経路を一瞬流して、その間にSPAMを送信するといった行為はしばしありますけどね。

─⁠─ということは、IPv4アドレス移転において注意すべきなのは、どちらかというと過去にワームやウィルスやDDoS攻撃等が頻繁に行われていたかどうかなどが、より大きなポイントとなりそうですか?

そうですね。そのIPアドレスから、何らかの悪行を過去に行っていたとすると、世界中でブラックリストに登録されていて使いにくいということはあると思います。

─⁠─世界中にあるRBLのようなものを把握したうえで確認する作業が重要ということですか?

何らかのスコアリングをするという意味では、みんなが参照しているようなブラックリストに載っているかどうかなどを確認する必要があるでしょうね。

─⁠─スコアリングをするような第三者組織が重要になるんでしょうか?

将来的に、アドレスが奇麗かどうかを確認するような組織が出来上がる可能性はあるかも知れないと個人的に考えています。そのようなスコアリングをする組織がIPv4アドレス移転の仲介を行う機能も持っているかどうかなどの要素もあると思います。

ただ、どれだけ汚れているかが価格に反映されたりすると、⁠IPアドレスの価値」というのがリアルに値段に反映されちゃうという可能性はありますね……。

とはいえ、そういった状況がどれだけ頻繁に発生するのかは多少疑問でもあります。たまに酷い外れを引いてしまうことがあるぐらいなのかも知れません。一方で、⁠大丈夫だ」とある程度わかるような情報も今後は必要になってくるのではと思います。

─⁠─ありがとうございました。

おすすめ記事

記事・ニュース一覧