「中国がインターネットをハイジャックした!」

   このエントリをはてなブックマークに登録    2010/11/19-1

「中国の通信事業者がインターネットをハイジャックした!」という記事が話題になっています。 4月8日にChina Telecom(中国電信)がBGPハイジャックを行って、世界各所で通信が行えない状態が発生したのは事実ですが、ソースとなる報告書で注目しているのはハイジャックそのものではなさそうです。 日本とアメリカでの記事と、アメリカ議会の諮問機関が公開した報告書を見つつ、雑感を述べたいと思います。

ニュースを見る

日本語でのニュースには、以下のようなものがあります。

もともとはアメリカ発のニュースなので、英語のニュースも色々あります。

これらのニュースは「中国がインターネットを乗っ取った!」というのを中心に記事を書いているように見えます。

記事への感想

このような記事に対しての違和感は、アメリカのインターネット運用者コミュニティであるNANOGのメーリングリストでも述べられています。

NANOG: The i-root china reroute finally makes fox news. And congress.

I would echo the thoughts earlier in this thread that the Fox story is making rather non-technical or technically vague statements.

私も同様に「微妙な記事だなぁ」という感想を持ちました。

4月時点で、この事件に関して書いた記事では、以下のように述べていたこともあり、当時は「単なるオペミスじゃない?」というのが感想でした。

実際のところはわかりませんが、恐らくは単なるオペレーションミスなのだろうと私は思いました。今回の事例はあまりに大量ですし、EGP → IGP → EGPという感じで、AS内部の経路だと勘違いして、間違って外部から得た経路をredstributeしてしまうという形なのかも知れません。

そのため、4月の事件単体として見た時には、全体的に今回登場している記事とのギャップがあるというのが感想です。

アメリカ議会の諮問機関による報告書

これらのニュースのソースは、アメリカ議会の諮問機関「U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION」による年次報告書(PDF)です。

年次報告の236ページから中国によるサイバー攻撃の恐れなどに関して記述されています。

まず最初に、中国からアメリカ国防総省(Department of Defense)へのサイバー攻撃認知件数に関して述べています。 そこでは、記録を取り始めて以来、はじめて認知件数が減少しそうだというデータを示しつつも、それは攻撃が効率化していて危機が上昇している可能性もあると記述されています。


U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION、
237ページより

次に、Googleやその他組織へのサイバー攻撃に関して述べられています。 Googleの事例に関しては3ページ割かれており、詳細に語られています。

その他の事例では、ターゲットを絞ったフィッシング詐欺の28%が中国発であるとの報告を紹介しています。 実際にスピア型フィッシング攻撃が発生した事例として、中国政府を訴えている組織が攻撃を受けたことを報じた記事(InformationWeek:Law Firm Suing China Hit By Cyber Attack)や、アメリカの石油会社3社が中国発と推測されるサイバー攻撃を受けたとする記事(CSMonitor.com:US oil industry hit by cyberattacks: Was China involved?)などを紹介しています。

さらに、その他の事例として、中国政府が関わったかどうかは不明としつつも、インド政府の機密情報へ中国からアクセスされた形跡が確認された事例や、中国にフォーカスしたインドの学者やジャーナリストも狙われたとしています。

その後の241ページから243ページで紹介されているのが、多くのニュースになっている事件です。 そこでは、3月と4月に発生したインターネット障害を発生させた事件を取り上げています。

それぞれの事件に関して、意図的かどうかは不明であるとしつつも、仕組みとして悪用することが可能であることと、中国が国内で活動している外国企業に機密情報開示を義務づける方針であることによって暗号化に関する情報が漏れてしまい、情報が奪われてしまう可能性を指摘しています。

報告書を読む限り、全体としては既存の情報を中国によるサイバー攻撃という視点でまとめた内容となっています。 さらに、今のインターネットの仕組みと、それによって引き起こせる可能性がある攻撃手法と、その手法が可能であることを示す事例と、さらに攻撃を効果的にできるという背景が語ってあるというのが、報告書を読んだ感想でした。

報告書を読んだ後にITmediaの記事を読むと、確かに書いてあることをキッチリ解説しているように読めます。 一方、47newsの記事は、あまりに短過ぎて情報が欠落し過ぎている印象を受けます。

事件発生時に私が書いた記事

今回のアメリカ議会の諮問機関による報告書で中国初のネット障害として紹介されているのが、I Root DNSへのネット検閲が外部に漏洩した事件と、China TelecomによるBGPハイジャック事件という二つの別々の事件です。

3月の事件:Root DNSパケット改ざん

3月の事件が、中国国内用のネット検閲システムがチリのプロバイダに漏れた事件で、NetNodが運用しているI Root DNSサーバパケットの改ざんが公になった事例です。 3月の事件は、中国国内のネット検閲システムが外部へと漏れた問題ですが、これらに関しては、DNSによるブロッキング、TCPセッション切断、Skypeの盗聴など、中国国内で行われていると言われているネット検閲の内容を含めて「中国国内ルートDNS停止事件 雑感」と「中国DNSルートサーバ停止事件でNetNodが調査経過公表」として記事を書きました。

なお、6月にRenesys Blogにて、I Root DNSの中国インスタンスが与え得る影響に関して、もう少し詳しく述べた記事があります(「Two Strikes For the I-root」)。

4月の事件:「世界をハイジャック」

さらに、4月の事例としてChina TelecomがBGPハイジャックを行った事件を取り上げています。 その事件に関しては、「中国ISPがインターネットの約10%をハイジャックか?」として記事を書きました。

事件を振り返りつつ、報告書について考察してみる

このような事件が発生したことを考慮しつつ、フィッシング詐欺と同様の方法を使ってユーザを騙して情報を取得することを、中国国外のインターネットでも可能であるという点が、恐らく今回の報告書で大事だったのだろうと思います。

二つの事件は恐らく個別のオペミスなのだろうと個人的には推測していますが、それらは潜在的な危険性を秘めているというのが報告書の読み方かも知れません。 ということで、重要なのは中国がインターネットを一時的にハイジャックしてしまったという個別の事件ではなく、全体的な動きとしてのセキュリティに関して考えるときの要素の一つであることを事件が示しているということなのだろうと思います。

BGPハイジャックって何?

4月の事件は、BGPハイジャックと呼ばれる手法ですが、これが大きく注目されたのは2008年にパキスタンのISPがYouTubeを偽ったという事件が発生したときです。

YouTubeのハイジャックに関する記事として私がわかりやすいと思うのは以下の二つです。

RIPE-NCCでは、経路がどのように変化したのかを動画にしています。 これを見ると、YouTubeの経路が本来のASではなく、別のASにドンドン吸い込まれてしまったのが良くわかります。

なお、BGPそのものに関しては、以前書いた「BGPを解説してみた」をご覧下さい。

最後に

アメリカでの報告書を見ると、確かにニュースで話題になっている内容が書いてあります。

しかし、報告書の主眼は中国発のBGPハイジャックではありません。 「インターネットにおける根本的な仕組みと攻撃の可能性」という部分で紹介されているBGPハイジャックを中心に多くのメディアが記事を校正したことで、個別の事件そのものとは違った見え方をしているような気がしました。

とはいえ、各個別のニュース記事単体としては報告書に書かれていることと比べて、必ずしも大きく間違ったことを述べているわけではなさそうで、どちらかというと「読者側が注意すべき」という難しさがあるニュースなのかも知れないというのが最終的な感想です。

追記

「中国がインターネットの15%をハイジャック」の嘘

   このエントリをはてなブックマークに登録