複数ISPがBitcanalへのネットワーク接続を切断。Bitcanalの別名は「BGPハイジャック工場」

f:id:nanashi0x:20180712211120p:plain

Free Vectors via Vecteezy.com

 複数のインターネットトランジットプロバイダーが協働で、ここ数年、故意にBGPハイジャックを少なくとも130回行っていたISPへのネットワーク接続を遮断しました。

 インターネットトランジットプロバイダーとは、ISP、エンドユーザ、データセンター間のグローバルなトラフィックをルーティングする企業です。

現在、BICS、GTT、Cogent、Meerfarbig、Hurricane Electric、IPTelecomといったトランジットプロバイダーが、Bitcanalという会社とネットワーク接続を切断しました。

Bitcanalは、ポルトガルでデータセンターとISPを運営する企業です。

更に、インターネットエクスチェンジポイント(IXP)も、Bitcanalとネットワーク接続を切断する決断を下したようです。

IXPとは、インターネット環境を相互接続する大規模な全国レベルのデータセンターを運営するプロバイダです。

Bitcanalへのネットワーク遮断を行ったIXPのリストには、DE-CIX、LINX、AMSIX、ESPANIXが含まれています。

NANOGでのメッセージ

実は今回Bitcanalへの接続を切断した一部の企業の中には、すでに2017年時点でBitcanalとネットワーク接続を行っていなかった企業もありました。

一体、なぜ多くのISP、IXPがBitcanalへの接続を切断したのか。

実は6月25日にNANOG(北米ネットワーク事業者のメーリングリストへ、「あるメッセージ」が投稿された事が原因と見られています。

そのメッセージには、「Bitcanalが少なくとも130回の意図的なBGPハイジャックを行った事を示す証拠」が書かれていたのです。

Bitcanalが行ったBGPハイジャックとは

BGPハイジャックは、ISPが特定の宛先へ間違った経路情報を伝えることで発生します。

ほとんどの場合、BGPハイジャックは、タイプミスや世界的なISPが間違ったサーバに大量のトラフィックを流す事が原因で発生します。

しかし、悪質なISPは、重要なDNSサーバー、金融サービス、政府機関サイト、軍事ドメインなどの特定のターゲットを乗っ取るために意図的に間違ったBGPルートを伝えるのです。

BGPハイジャックをする目的として、悪質なISPのネットワークをトラフィックが通す事が挙げられます。

つまり、中間者攻撃を行う事が出来るのです。

 

BitcanalがBGPハイジャックをした証拠とは

NANOGに投稿されたメッセージから、Bitcanalが最も大きいBGPハイジャック犯であることが分かったため、BGPハイジャック工場と揶揄されました。

Ronald F. Guilmette氏は、NANOGのメッセージで以下のように言っています。

無数の故意にIPハイジャックされたインシデントを今まで見たことある人なら自明だと思うが、213/8を除いたAS3266(BitcanalのAS番号)から伝送された全ての経路はBGPハイジャックである事は明白だ。

39種の経路がハイジャックされいることが、少なくともbgp.he.netから判明した。しかしながら残念なことに、これは控え目な概算である。RIPEstatから抽出した、より完全で最新の情報によると、計224,512個のIPv4アドレスに紐づく130もの経路がハイジャックされている事が判明した。

https://pastebin.com/raw/Jw1my9Bb

端的に言って、Bitcanalはだいたい全体の/14ブロックのIPv4アドレスを持ち逃げしたことになる。(勿論、彼らは一銭も払っていない。)

Guilmette氏の指摘によれば、BitcanalはBGPハイジャックにより手入れたIPアドレスを、スパムグループに販売していました。

スパムグループは、このIPアドレスを買うことにより、ブラックリストに登録されていないIPアドレスでスパムキャンペーンが出来るようになるのです。

企業が協力してBitcanalをインターネットから追放

Oracleのインターネットリサーチ部門のブログ記事によると、ISPとIXPが協力して、ここ数週間でBitcanalの環境と完全に切断することでBitcanalをオフラインに出来たようです。

前述のブログ記事の執筆者であるDoug Madory氏によると、過去数週間でISPとIXPから得られる教訓があると記事内で述べています。

1) たとえ (この記事の読者の地域がBitcanalの)被害に遭っていなくても、将来的なリスクを考慮して切断する事をお薦めしたい。もし、DECIXがBicanalを昨年追放したのが多くの人に知られていたら、他のIXPはBitcanalを切断していたのだろうか。または、Bitcanalについて少なくとも調査くらいは行っただろうか。

 

2) IXPは、中立的に機能するハブではない。IXPを悪用することで、悪意を持った攻撃者が目的を果たす事が容易になります。IXPは責任から免れる事はできなくなってしまいました。

 

3) (この記事を読む読者が)監視と解析の能力が備わっているかどうか確認すべきだ。複数のIXPは、問い合わせの確認をするためのルートサーバのMRTファイル、またはPCAPの取得が出来ていませんでした。もしIXPが悪事を働いた場合に証拠収集しなければならないポリシーがあるならば、証拠収集だけでなく、証拠自体の正当性を確かめる枠組みが必要だと思います。

BGPハイジャックが近年急速に普及しており、ISPやIXPのような企業がようやく重い腰を上げて対策に乗り出しています。

今回のように複数のISP/IXPが結託して任意のISPを締め出した事はありませんでした。

複数の企業が協力してBitcanalを追放したこと前例が出来るので、他の既知のBGPハイジャック犯対しても迅速な対応がなされる事でしょう。

ちなみに、BGPハイジャックに対して、他の方法も取られています。

原文へ

(翻訳:Anoymask (@UXYEA) | Twitter