40のシナリオでIPv6ネットワークに模擬攻撃、セキュリティ検証の報告書
IPv6技術検証協議会は、IPv6環境におけるセキュリティ上の脅威について検証・実験した結果をとりまとめ、23日に報告書を公表した。協議会のサイトからPDFでダウンロードできる。
協議会によると、「IPv6の使用にあたっては、これまで相互接続性の確認や、プロトコルの検証といった基礎的な範囲での検討が積極的に進められてきてはいるが、IPv6の具体的な利活用を想定したセキュリティ機能、実装手法、性能評価などにかかわる実環境検証については、いまだ多くの検討の余地を残してきた」という。また、「IPv6で導入された新たな機能や高い柔軟性が裏目となって、IPv6プロトコルの根源的なセキュリティ上の脅威となりうるケースが多く考えられる」と指摘。2010年7月に協議会を設立、その後2年間にわたって、IPv6環境で考えうる脅威をピックアップし、実証実験などを踏まえながら対策などを検討した。
協議会には、独立行政法人情報通信研究機構(NICT)、F5ネットワークスジャパン株式会社、KDDI株式会社、ソフトバンクBB株式会社、タレスジャパン株式会社、株式会社ディアイティ、株式会社東陽テクニカ、日本電信電話株式会社、株式会社バッファロー、パロアルトネットワークス合同会社、ブルーコートシステムズ合同会社、ブロケードコミュニケーションズシステムズ株式会社、日本マイクロソフト株式会社の13社・団体が参加。日本マイクロソフトの大手町テクノロジーセンター内に構築したテストベッドにおいて、NICTの開発した攻撃ツールを用い、参加ベンダーの各種製品に対して模擬攻撃を行うなどの検証作業を行った。
日本マイクロソフト大手町テクノロジーセンター内に構築したIPv6セキュリティ検証テストベッド |
なお、IPv6環境は将来的にキャリアネットワーク、エンタープライズネットワーク(企業内ネットワーク)、ホームネットワークに至るさまざまな階層で導入されると見込まれるが、今回は一般的なエンタープライズネットワークに絞って検証した。
具体的には、エンドノード(クライアント/サーバーノード)に対する脅威、ネットワーク機器(ルータ・L2スイッチ等)に対する脅威、セキュリティ機器(IDS/IPS、ファイアウォール)に対する脅威――という3カテゴリーで考えうる47項目の脅威をリストアップ。このうち、特に緊急性が高く影響範囲が広いと思われる31項目(40シナリオ)について実験による検証作業を実施。また、そのほかの17項目についても対策を含めて机上検討を行った。
報告書によれば、検証作業を行った40のシナリオのうち、35の攻撃シナリオを各ベンダーの機器に対して適用。このうち13のシナリオはどの機器でも攻撃が成立しなかったが、残る22のシナリオについては、1製品以上の機器で攻撃が成立したという。検証対象になった複数の機器ですべて攻撃が成立したシナリオもあったとしている。
「攻撃が成立したシナリオの中には、IPv6の仕様に忠実に実装した結果、攻撃が成立するものも多く見られる」としており、「IPv6において導入されたプラグアンドプレイ機能などの柔軟な設計が、その意図に反して悪用された場合に大きな脅威となりうることを示している」と指摘している。
それぞれの脅威に対する対策手法としては、ネットワーク機器に新たな機能の実装を必要とするものもある一方で、ベンダーの製品に実装済みの対策手法を用いたり、運用時の設定の工夫により回避できるものもあるという。運用時にこうした機能を適切に設定することも有効な対策だとしている。
11のシナリオについては、検証結果に基づいて検討した対策手法を実装し、その有効性を検証したという。今後、各ベンダーの製品に反映し、安全性向上に役立てるとしている。
さらに協議会では、今後もIPv6の新たな脅威について実験や対応策の検討を行っていくとともに、ホームネットワーク環境におけるIPv6の脅威についても検討範囲に含めていく予定だ。