世界の主要なネットトラフィックがなぜかベラルーシとアイスランドを通過していたことが明らかに

By Andreas Åkre Solberg

インターネット通信は、自然災害や事故でケーブルが切れてしまうなどのアクシデントが発生しない限り、決められたルートを通過しています。しかしながら。世界のインターネットトラフィックをリサーチするアメリカの企業Renesysが公表したところによると、アメリカやヨーロッパ諸国を中心とした世界の主要都市のインターネット通信が、本来の経由地ではないベラルーシやアイスランドを通過したことが明らかになっています。

The New Threat: Targeted Internet Traffic Misdirection - Renesys
http://www.renesys.com/2013/11/mitm-internet-hijacking/

毎日24時間体制でインターネットのトラフィックを監視しているRenesysは、世界中の都市のインターネット通信において、通信をハイジャックする中間者攻撃が行われたことを公表しました。中間者攻撃のターゲットとなったインターネットキャリアの分布図を見てみると、アメリカやヨーロッパを中心に南米やオーストラリア、中国など広範囲に及ぶことがわかります。

中間者攻撃が初めて確認されたのは2013年2月のことで、トラフィックはなぜかベラルーシのGlobalOneBelというプロバイダを経由していました。当時の中間者攻撃のターゲットには金融機関や政府機関、インターネットサービスプロバイダが含まれていたとのこと。

Renesysが公表したトラフィックの1例が以下のもの。メキシコのグアダラハラから送信されたメールが、バージニアのアッシュバーンから一度ワシントンを経由して、ロンドン(イギリス)・モスクワ(ロシア)・ミンスク(ベラルーシ)・フランクフルト(ドイツ)を通ってニューヨークからワシントンのローカルプロバイダQwest/Centurylinkに届けられており、通常とは異なるかなり遠回りの経路を取ったことが明らかになっています。2013年2月に発生した中間者攻撃は3月に入るまで続きました。

中間者攻撃は2013年5月に再開し、この時インターネット通信はベラルーシではなくアイスランドのNyherji hfを経由していたとのことですが、攻撃は5分間で終了します。そして2013年7月31日に再び中間者攻撃が発生、トラフィックはアイスランドのOpin Kerfiというプロバイダを経由しており、攻撃は8月まで続いたとのことです。

7月の中間者攻撃では、アメリカの都市・デンバーの市内間の通信が、シカゴ・アッシュバーン・ニューヨーク・ロンドン・レイキャヴィーク(アイスランド)・モントリオール(カナダ)・シカゴ・ニューヨーク・ダラス・カンザスシティを通ってデンバーに戻ってくるという経路になっていました。

プロバイダのボーダー・ゲートウェイ・プロトコル(BGP)が乗っ取られたために発生した今回の攻撃は、いまだに攻撃のメカニズム・動機・犯人が不明のままになっています。Renesysがアイスランドのピアリングチームに詳細を確認したところ、7月の中間者攻撃はベンダーソフトウェアのバグによって生じたものであり、パッチで修復されたので問題はなくなった、という回答を受け取ったとのこと。

Renesysは「ベンダーソフトウェアのバグが、世界中で発生したBGPの乗っ取りを引き起こすとは考えにくい」とし、また「今まで理論上で危惧されていた中間者攻撃が実際に発生したことで定期的に起こり得るレベルにまで危険度が上がった」と述べています。