自分の通信が安全にインターネットを通過しているか確認できるウェブサイト「Is BGP safe yet?」をCloudflareが公開
インターネットは自律システム(AS)と呼ばれるIPネットワークやルーターの集合で構成されており、AS間の通信経路を決定するルーティングにはBGPというプロトコルが用いられています。しかし、BGPはBGPハイジャックという攻撃により通信経路を乗っ取られてしまう問題があり、この問題に自分が利用しているインターネットプロバイダ(ISP)が対処できているかを確認できるウェブサイト「Is BGP safe yet?」をCloudflareが公開しています。
Is BGP Safe Yet? No. But we are tracking it carefully
https://blog.cloudflare.com/is-bgp-safe-yet-rpki-routing-security-initiative/
Is BGP safe yet? · Cloudflare
https://isbgpsafeyet.com/
BGPは1989年に制定された、インターネットプロバイダ(ISP)などのAS間におけるルーティングを担うプロトコル。BGPの安全性は高いとは言えず、過去にはBGPハイジャックによるネットワークの乗っ取り被害が発生することがありました。
そうした問題を解決すべく、BGPのセキュリティ機能として「RPKI」が開発されました。RPKIは各ASに割り振られる一意の番号であるAS番号とIPアドレスの正しい組み合わせを示すROAと、実際にルーターから広告される経路情報を比較し、IPアドレスの誤用やBGPハイジャックを検出する仕組みです。
RPKIによる安全なインターネットを実現するには、各ISPがRPKIに対応する必要があります。Cloudflareが公開したウェブサイト「Is BGP safe yet?」を使うと、自分が利用するプロバイダがRPKIに対応しているか確認できます。ウェブサイトにアクセスし、「Test your ISP」をクリックすると……
すぐに結果が表示されました。今回テストしたISPはRPKIに対応していないようです。
Cloudflareが公開しているRPKIの対応状況をIPアドレス空間上に示した画像が以下。黄色がRPKIに対応しているIPアドレス空間で、青色が未対応のIPアドレス空間を示しており、まだまだ未対応のIPアドレス空間が大きいことがわかります。
「Is BGP safe yet?」の動作は単純で、RPKIの対応にかかわらずアクセスできる「valid.rpki.cloudflare.com」とRPKIに対応している場合はアクセスできない「invalid.rpki.cloudflare.com」の2つのウェブサイトにアクセスを試み、2つとも応答があればRPKIに対応していないと判断しているとのこと。
Cloudflareは「BGPの問題による経路情報の流出やネットワークの乗っ取りを過去のものと言える日を楽しみにしています」とコメントしています。
・関連記事
BGPハイジャックの常習犯が「インターネットの世界からBANされた」と報告される - GIGAZINE
Googleのグローバルトラフィックがナイジェリアの業者のミスで中国経由になっていたことが発覚 - GIGAZINE
チャイナ・テレコムがインターネットのトラフィックを誤誘導・傍受し続けている - GIGAZINE
Discord・Amazonなどを巻き込む大規模障害が発生、「真の原因はVerizon」とCloudflareが非難 - GIGAZINE
ロシア政府の管理下にある通信事業者が金融サービスのインターネットトラフィックをハイジャック - GIGAZINE
・関連コンテンツ
