ニュース
» 2012年10月23日 16時08分 UPDATE

NS/NA詐称など35シナリオを検証:IPv6環境での脅威と対策は? IPv6技術検証協議会が報告書

IPv6技術検証協議会のセキュリティ評価・検証部会は10月23日、IPv6の安全性や相互運用性に関する検証結果をまとめた「IPv6技術検証競技会 最終報告書」を公開した。

[ITmedia]

 IPv6技術検証協議会のセキュリティ評価・検証部会は10月23日、IPv6の安全性や相互運用性に関する検証結果をまとめた「IPv6技術検証競技会 最終報告書」を公開した。安全で安定したIPv6利用環境の実現に役立ててほしいとしている。

 この最終報告書は、IPv6環境におけるセキュリティ上の脅威と、その対策方法についてまとめたもの。2010年7月から2012年7月にかけて、検証施設(テストベッド)で行われた40通りの攻撃シナリオを列挙し、うち35シナリオについての検証結果を基に、どんな手法が脅威となり得るか、またその対策手法にはどんなものがあるかを解説している。

 具体的には、例えばエンドノードに対する脅威としては、近隣要請広告(Neighbor Solicitation/Neighbor Advertisement:NS/NA)の詐称による通信妨害やRH0(Route Type 0)を用いた通信妨害などが挙げられている。またネットワーク機器に対する脅威としては、不正なジャンボペイロードや不正なフラグメントパケットを用いた通信妨害、ルータ広告メッセージ(RA)詐称などがあり、それぞれの検証結果と対策案が述べられている。

 報告書によると、35シナリオのうち13個のシナリオについては、どの機器でも攻撃は成立しなかった。だが残る22個のシナリオについては、1つ以上の機器で攻撃が成立。中には、皮肉なことにIPv6の仕様に忠実に実装した結果、攻撃が成立するものも多く見られたという。「IPv6において導入されたプラグアンドプレイ機能などの柔軟な設計が、その意図に反して悪用された場合に大きな脅威となりうる」(同報告書)。

 対策手法としては、ネットワーク機器側に新たな機能の実装が必要なものと、運用時の設定の工夫によって回避できるものとがあり、特にDoS系の攻撃については、「特定のパケットに対して破棄、あるいはレートリミットの仕組みを導入することで回避可能なものが多い」(同報告書)という。また、最新の仕様(RFC)に従うことで回避可能な問題も含まれている。

mt_v6.gif

 IPv6技術検証協議会は、情報通信研究機構、F5 ネットワークスジャパン、KDDI、ソフトバンクBB、タレスジャパン、ディアイティ、東陽テクニカ、日本電信電話(NTT)、バッファロー、パロアルトネットワークス、ブルーコートシステムズ、ブロケード コミュニケーションズ システムズ、日本マイクロソフトが参加して、2010年7月に設立された。検証は、日本マイクロソフトの大手町テクノロジーセンター内にテストベッドを構築し、会員企業の各種製品と、情報通信研究機構が開発した攻撃ツールを導入して行った。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。