ロシア政府の管理下にある通信事業者が金融サービスのインターネットトラフィックをハイジャック

ロシア政府の管理下にある通信事業者・Rostelecomが、MastercardやVISAなどの金融サービスのインターネットトラフィックをハイジャックした可能性が指摘されています。インターネットトラフィックをハイジャックしたというRostelecomの目的は一体どこにあるのかを、海外メディアのArs Technicaが解説しています。

Russian-controlled telecom hijacks financial services’ Internet traffic | Ars Technica
https://arstechnica.com/security/2017/04/russian-controlled-telecom-hijacks-financial-services-internet-traffic/

BGPstream and The Curious Case of AS12389 | BGPmon
https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/

2017年4月26日、MastercardやVISA、その他20を超える金融サービスが提供するオンラインサービスへのネットワークトラフィックが、ロシア政府の管理下にある通信事業者・Rostelecomを経由し始めました。5～7分にかけて36個の大規模ネットワークのトラフィックが「なぜかRostelecomを経由する」という事態になったのですが、ボーダー・ゲートウェイ・プロトコル(BGP)関連の障害はあり得るものということで、偶発的なものであると考えられていました。しかし、ネットワークモニタリングサービスのBGPmonで働くエンジニアが影響を受けた企業について調べてみると、その多くが金融サービスに関連する企業であることに気づきます。

ネットワーク管理会社・Dynのインターネット分析担当ディレクターであるダグ・マドリー氏は、「これはかなり疑わしいものだと私なら判断します」とArs Technicaにコメントしています。こういった類いのエラーの典型的な原因は何らかの内部トラフィックエンジニアリングにあるそうですが、「誰かが金融ネットワークを対象にトラフィックエンジニアリングを制限する」というのはとても奇妙なことだそうです。

MastercardやVISAなど影響を受けた企業向けのネットワークトラフィックは、通常はそれぞれの企業が契約・承認しているサービスプロバイダを経由します。認可プロバイダは、BGPのルーティングテーブルを利用してクライアント企業に属するIPアドレスのブロック所有権を通知します。しかし、4月26日に起きた障害では、Rostelecomが突然ブロックのコントロールを始め、影響を受けるネットワークに流れ込むトラフィックがRostelecomのルーターを経由することとなったそうです。このトラフィックのハイジャックは5～7分間続いたのですが、その後ルーティングは復元されています。ただし、ハイジャックされた際のインターネットトラフィックの変化の様子はしっかり記録されています。

以下のマップは今回の障害により影響を受けた36のサービスへのインターネットトラフィックがどのように変化したのかを視覚化したもの。BGPmonが用意したページからは時間の経過と共にトラフィックの経路がどのように変化したのかを視覚的に見ることもできます。

このインターネットトラフィックのハイジャックは、MastercardやVISAなどの影響を受けた金融機関が提供するインターネットサービスにアクセスするロシア人のトラフィックを傍受したり操作したりするために行われた可能性が指摘されています。こういった傍受・操作は、通常は暗号化されていないデータに対して行われるものですが、データが暗号化されていてもLogjamやDROWNなどの攻撃方法をとればトラフィックを復元できる可能性があるそうです。

マドリー氏によると、たとえ暗号化されたデータを解読できないとしても、アタッカー側は通常とは異なるトラフィック経路を利用して誰がどの金融サービスにアクセスしているのかを記録することができ、その中から防御力の低そうなターゲットを見繕い、攻撃を集中するといったことも可能だそうです。

なお、Rostelecomが提供する株主情報によると、ロシア政府は同社の普通株式の49％を所有しており、アメリカ商務省はロシアの国営企業としてRostelecomをリストアップしています。実際、Rostelecomの取締役会には1人または複数の政府高官が名を連ねていると、商務省は報告しています。

なお、インターネットトラフィックをハイジャックされた企業の中にはセキュリティプロバイダのシマンテックやテクノロジー企業のEMCの子会社も含まれています。影響を受けた36のネットワークプレフィックスと登録されている所有者リストは以下の通りです。

・202.138.100.0/24 Reliance Communications Bangalore State of Karnātaka IN
・145.226.109.0/24 Euro-Information-Europeenne de Traitement de l'Information SAS Paris Île-de-France FR
・193.58.4.0/24 Fortis Bank N.V. Brussels Bruxelles-Capitale BE
・217.75.242.0/24 Servicios de Hosting en Internet S.A. ES
・194.153.135.0/24 Norvik Banka LV
・93.190.87.0/24 Modrium Mdpay Oy NUF Øy Nord-Trøndelag Fylke NO
・217.117.65.0/24 NET_217_117_65 UA
・195.76.9.0/24 REDSYS SERVICIOS DE PROCESAMIENTO SLU
・64.75.29.0/24 Arcot Systems, Inc. Sunnyvale CA US
・206.99.153.0/24 Savvis Singapore SG
・198.241.161.0/24 VISA INTERNATIONAL CO US
・203.112.91.0/24 HSBC banking and financial services Hong Kong HK
・196.38.228.0/24 Internet Solutions Johannesburg Gauteng ZA
・216.136.151.0/24 Savvis Arlington VA US
・198.161.246.0/24 EMC Corporation Southborough MA US
・212.243.129.0/24 UBS Card Center AG Glattbrugg Kanton Zürich CH
・203.112.90.0/24 HSBC banking and financial services Hong Kong HK
・216.150.144.0/24 Xand Corporation Farmingdale NY US
・195.20.110.0/24 Bank Zachodni WBK S.A. Poznań Województwo Wielkopolskie PL
・193.16.243.0/24 Servicios Para Medios De Pago S.A. ES
・202.187.53.0/24 TIME DOTCOM BERHAD Shah Alam Selangor MY
・160.92.181.0/24 Worldline France hosting FR
・145.226.45.0/24 Euro-Information-Europeenne de Traitement de l'Information SAS Strasbourg Alsace FR
・195.191.110.0/24 card complete Service Bank AG Vienna Wien AT
・193.104.123.0/24 PROVUS SERVICE PROVIDER SA Bucharest București RO
・69.58.181.0/24 Verisign, Inc. New York NY US
・194.5.120.0/24 DOCAPOST BPO SAS FR
・89.106.184.0/24 Worldline SA Frankfurt am Main Hessen DE
・217.75.224.0/19 Servicios de Hosting en Internet S.A. Madrid Comunidad de Madrid ES
・195.114.57.0/24 DNBNORD PLC LV
・198.241.170.0/24 VISA INTERNATIONAL CO US
・216.119.216.0/24 MasterCard Technologies LLC Wentzville MO US
・193.203.231.0/24 SIA S.p.A. Milano Lombardia IT
・65.205.249.0/24 Symantec Inc Mountain View CA US
・194.126.145.0/24 Netcetera AG Zürich Kanton Zürich CH
・65.205.248.0/24 Symantec Inc Mountain View CA US

マドリー氏とBGPmonのエンジニアの両方がインターネットトラフィックのハイジャックは偶然だった可能性も指摘していますが、BGPのトラフィックが意図的に流用されたのはこれが初めてではありません。2013年にDynに買収されたRenesysが、金融機関・政府機関・ネットワークサービスプロバイダに属するインターネットトラフィックの大部分を遠隔地にリダイレクトされたことがあります。

世界の主要なネットトラフィックがなぜかベラルーシとアイスランドを通過していたことが明らかに - GIGAZINE