IPv6への移行で注意すべきセキュリティ問題~ポイントはトラフィックの可視化


 先ごろ、IPv6普及イベント「World IPv6 Launch」(http://searchsecurity.techtarget.com/tip/Get-ready-for-IPv6-Five-security-issues-to-consider)が実施され、大手のコンテンツ・プロバイダやアクセス・プロバイダにIPv6を恒久的に有効化させるという目的は無事に達成されました。しかしこの日、ネイティブのIPv6トラフィックが急増する一方、6in4やTeredoなどのトンネリング・プロトコルによるトラフィックも大幅に増加したことが確認されています。IPv6の利用を促進するという目的に照らせば、同イベントは大成功に終わったと言えますが、IPv6トラフィックの処理に関するセキュリティ問題はまだ解決されたわけではありません。

 特に深刻なのは、トンネルが無許可で使用されるためIPv6トラフィックが不可視になり、ファイアウォールや侵入防御システム(IPS)で検査されない企業ネットワークへの経路ができてしまう問題です。このような経路を遮断するためには、IPv6への移行技術がどのような仕組みで動作しているかを理解し、トラフィックを可視化する必要があります。

 IPv6への移行が必要な理由は明白です。ごく単純に言えば、IPv4ではスペースが足りなくなっているからです。インターネットに接続する各機器には、IPアドレスと呼ばれるインターネット上の住所が割り当てられます。IPv4プロトコルでは、32ビット分のIPアドレス、つまり2^32個のIPアドレスを使用できますが、インターネットに接続される機器が増加したために、IPv4アドレスは枯渇寸前となっています。そこで、2^128個のIPアドレスを利用できるIPv6への移行が急務になっているというわけです。またIPv6には、アドレス割り当ての簡素化など、アドレス数が増加する以外の利点もあります。

 しかし、ネットワーク運用という観点からすると、IPv6への移行はそう単純ではありません。IPv4ネットワークでさまざまなセキュリティ対策を講じてきた経緯に習って、IPv6ネットワークでも相応のセキュリティ対策を実施する必要があります。IPv6への移行を安全に行うには、セキュリティ担当者がこの新プロトコルの基本的な仕組みを理解することが重要です。そうしたセキュリティ担当者のために、NIST(National Institute of Standards and Technology)などの組織が移行のベスト・プラクティスをWebサイト上で公開しています。

 セキュリティ機器がIPv6をサポートしている場合は、必ずその機能を有効にしてください。Windows VistaやWindows 7などの一部オペレーティング・システムでは、IPv6への移行技術がデフォルトで有効にされています。このため、これらの技術がIT管理者のあずかり知らぬところで使用され、場合によってはエンドユーザがファイアウォールやIPSをバイパスして通信している可能性があります。

 これらのトンネル技術では、IPv6に対応したホストとルータがIPv4インターネット経由で別のIPv6対応機器と通信します。その際に、トラフィックがファイアウォールの検査をすり抜けてしまう可能性が問題とされています。つまり攻撃者が、セキュリティ機器によるチェックを受けずにネットワーク内部のリソースにアクセスできるおそれがあります。このため、6to4などのトンネリング・プロトコルをIPv6への移行手段として使用することはできる限り避け、やむなく使用する場合はその問題点を十分に考慮しなければなりません。

 ひょっとするとあなたのネットワークでも、あなたの知らないところでIPv6が使用され、ボットネットやハッカーがファイアウォールを回避するために利用しているかもしれません。このような問題を防ぐには、正式にIPv6を使用していない場合でも、セキュリティ機器でIPv6トラフィックを認識できるようにしておく必要があります。当たり前のことですが、見えないものを阻止することはできません。

 対策を講じるうえでのキーワードは「可視化」です。IPv6に対応した端末が存在する環境では、IPv6をサポートするセキュリティ機器を使用し、関連機能を有効にする必要があります。IPv6トラフィックの検査に対応していない古いIPSやファイアウォールはアップグレードが必要ですが、大手ファイアウォール/ネットワーク・セキュリティ・ベンダーの多くは、ここ数年でIPv6をサポートするようになっています。必要な機能がすべて揃っているかどうかをベンダーに確認し、関連機能を忘れずに有効にしてください。また、NISTの「USGv6 Profile and Testing Program」など、IPv6への対応状況を調べるための公式テスト・プログラムも役に立ちます。

 IPv6の導入が進むにつれ、移行技術の仕組みを理解し、無許可でトンネリング・プロトコルが使用されないよう対策を講じることがますます重要になります。ネットワークのセキュリティを維持するには、すべてのトラフィックの監視が欠かせません。無許可のトンネルを見つけたら、攻撃者に利用される前にふさぐ必要があります。IPv6への移行は避けて通れない道です。ネットワークを確実に保護できるよう、今すぐ必要な対策を始めてください。

関連情報
ロバート・ヒンデン(Robert Hinden)
チェック・ポイントのフェローであり、Internet Engineering Task Force(IETF)のIAOCおよびIPv6(6MAN)ワーキング・グループの議長を務めています。初代インターネット・ルータの開発で先駆者的役割を果たしたとして、2008 IEEE Internet Awardを共同受賞。DARPAにおける研究プロジェクトの時代からインターネットの研究開発に携わっており、初期のごく単純なハッキング行為から現代の高度な協調型サイバー犯罪に至るまで、セキュリティ脅威の歴史を追い続けています。