BGP ハイジャック
BGP ハイジャックとは、あるネットワークが、制御していない IP アドレスの所有権を誤って公表することです。インターネットのルーティング プロトコルはそれらを信じ、トラフィックは間違った宛先に流れ、その結果は偶発的な停止から意図的な監視まで多岐にわたります。修正 (RPKI) は進んでいますが、まだ完了していません。このカテゴリは依然として最上位のインフラストラクチャ脅威です。
記事全文は以下に英語で記載されています。
BGP ハイジャッキング は、自律システムが、それに属していない IP プレフィックスの所有権を宣言する攻撃 (または事故) です。世界中の BGP ルーターはアナウンスを受け入れ (従来の BGP には認証がないため)、これらのプレフィックスのトラフィックをハイジャッカーにルーティングし始めます。被害には、サービス停止、トラフィック傍受、資格情報の盗難などが含まれる可能性があります。
仕組み
BGP は、AS 間でインターネット ルートを伝播するプロトコルです。BGP の記事 を参照してください。簡略化されたフロー:
- ハイジャッカーの AS は、「プレフィックス X へのルートがあります」とアナウンスします。
- BGP ルーターはアナウンスを受信し、それを知っている他のルートと比較します。
- ハイジャッカーのアナウンスがより具体的 (プレフィックスが長い) または AS パスが短い場合、ルーターは優先します。 it.
- プレフィックス X 宛てのトラフィックがハイジャッカーの AS を通過するようになりました。
- ハイジャッカーは、トラフィックをブラックホール (サービス拒否)、監視 (監視)、変更 (中間者)、またはメタデータの収集中に透過的に通過させることができます。
プロトコル レベルの問題: BGP は伝統的に、最も大きな声でアナウンスする人を受け入れます。アナウンサーが実際にプレフィックスを所有しているかどうかは検証されていません。
BGP ハイジャックの種類
- オリジン ハイジャック。 AS X は、AS Y が所有するプレフィックスをアナウンスします。最も一般的です。多くの場合、偶発的な構成ミス。
- プレフィックス ハイジャック。 他人のプレフィックスのより具体的なサブセットをアナウンスします。より具体的なルートが優先されるため、ルーティングの決定に勝ちます。
- Path hijack. 偽装された AS パスを発表します。微妙な;
- Blackholing. トラフィックを吸収してドロップするプレフィックスをアナウンスします。悪意を持って (DoS) と防御的に (DDoS 軽減) の両方で使用されます。
- MITM によるサブプレフィックス ハイジャック。 監視/変更後に、ハイジャックされたトラフィックを実際の宛先にルーティングします。最も有害な亜種。
有名な事件
- パキスタン/YouTube (2008). パキスタンテレコムは、より具体的な YouTube プレフィックスをローカルで発表することで、国内で YouTube をブロックしようとしました。この発表は上流プロバイダーに漏れ、世界中に広がりました。 YouTube が世界中で約 2 時間真っ暗になりました。
- 中国電信 (2010). すべてのインターネット ルートの 15% が 18 分間使用されると発表されました。大規模な交通障害。情報収集の可能性。
- Indosat (2014). 320,000 のプレフィックスが数時間にわたってハイジャックされた。
- ロシアのルート変更 (2017). ロシアの ISP が主要な西側テクノロジーおよび金融へのルートを一時的にハイジャックsites.
- 仮想通貨をターゲットにしたさまざまな BGP ハイジャック。 トラフィックを仮想通貨ウォレットのフィッシング ページにリダイレクトする調整されたハイジャック。場合によっては数分しか続かないが、多額の資金を流出。
- KlayMaker / KlaySwap (2022). 韓国の仮想通貨取引所BGP 経由でハイジャックされ、~200 万ドルが盗まれました。
- Twitter/X 2024. ロシアのプロバイダーによって一時的にハイジャックされ、トラフィックは数時間ロシアを経由しました。
事故と意図的な攻撃を区別するのは困難です。パキスタンのYouTube事件は事故だった。
RPKI: 部分的な修正
RPKI (リソース公開キー基盤) により、アドレス所有者はどの AS がプレフィックスを発表する権限を持っているかを暗号的に宣言できるようになります。 RPKI を検証するように構成されたルーターは、有効なルート オリジン認証 (ROA) と一致しないアナウンスを拒否します。2026 年時点の
RPKI 展開:
- 主要な Tier-1 通信事業者 (Lumen、NTT、Telia、Cogent、Tata) はすべて、顧客対応で RPKI を検証します。 Routes.
- ~ 50% のルーティングされたプレフィックスには有効な ROA が含まれています。
- Adoption は着実に増加していますが、署名されていない半分は公開されたままです。
- RPKI はオリジン ハイジャック (最も一般的な攻撃) をキャッチします。 AS パスが改ざんされるパス スプーフィング攻撃は捕捉しません。
BGPsec: 起こらなかった大きな修正
BGPsec (RFC 8205、2017) は、AS パスに暗号署名を行い、パス スプーフィング攻撃を阻止する提案された拡張機能でした。
< の理由により、導入は実質的にゼロになりました。ul>BGPsec は暗号的に完全なソリューションですが、運用コミュニティには導入する余裕がありません。 RPKI は、コミュニティが段階的に採用している、部分的ではあるが展開可能なソリューションです。
Detection
いくつかの監視サービスが予期しないアナウンスを監視しています:
- BGPMon (Cisco)
- Hurricane Electric の BGP ツールキット
- RIPE Stat / RIS
- Cloudflare Radar
- インターネット協会の MANRS 観測所
独自のプレフィックスを運用している組織にとって、「私のプレフィックスを発信する予期しない AS」に関する自動アラートが実用的な防御手段となります。一部のプレフィックス所有者は、BGP 発信元検証を自ら実装し、疑わしいアナウンスを拒否します。
個人でできること
BGP ハイジャックは、主にインフラストラクチャ層の脅威です。個々のユーザーはそれを直接防御することはできません。現実的な軽減策: エンドツーエンド暗号化 (HTTPS、E2E メッセージング) により、ほとんどの BGP ベースの盗聴は無効になります。ハイジャッカーは、暗号化されたトラフィックを認識し、宛先を学習しますが、コンテンツは学習しません。
一か八かのトラフィックの場合、マルチパス アプローチとエンドツーエンド認証 (mTLS、証明書ピンニング、FIDO2) により、ハイジャックが達成できる内容が制限されます。
よくある質問
- ホーム ネットワークから BGP ハイジャックを検出できますか?
- 直接ではありません。ハイジャックは上流側で行われます。トラフィックは間違った宛先に流れますが、宛先が間違った動作をしている場合 (証明書の警告、見慣れないサービスなど) にのみ気付きます。 HTTPS では、ほとんどのハイジャックが TLS エラーによって可視化されます。純粋な IP サービスは検出が困難です。
- RPKI はすべての BGP ハイジャックを防止しますか?
- オリジンハイジャック (プレフィックスを発信する偽の AS) を防ぎます。 AS パスが偽装されるパス スプーフィング攻撃は防止できません。 RPKI は、最も一般的な攻撃タイプに対する実用的な防御手段です。 BGPsec は残りを閉じますが、展開されていません。
- BGP ハイジャックはどのくらいの頻度で発生しますか?
- 小さなインシデントが毎日発生します。ほとんどは攻撃ではなく構成ミスです。重大なトラフィックに影響を与える重大なインシデントは、よりまれです (年に数件)。検知能力が向上したため、2010 年には気づかれなかった事件が 2024 年には公表されるようになります。
- 小規模な ISP が世界規模のサービス停止を引き起こす可能性はありますか?
- はい、上流プロバイダーでの間違ったフィルタリングが原因です。現在、ほとんどの大手通信事業者は、予想されるルート セットに対して顧客アナウンスをフィルタリングしています。フィルタリングを行わないアップストリームの設定が間違っていると、小規模な ISP の間違いが世界中に広がる可能性があります。フィルタリングの実践を改善することで、このリスクは軽減されましたが、排除されたわけではありません。
- 量子コンピューターは BGP 署名を破るのでしょうか?
- RPKI は、原理的に量子脆弱性のある RSA 署名を使用します。ポスト量子署名への移行は将来の懸念事項ですが、緊急ではありません。RPKI キーを解読できるほど大きな量子コンピューターはまだ存在していません。 RPKI 導入スケジュールには、緊急になる前に移行できる十分な余地があります。