エジプトでのインターネット遮断の仕組み

   このエントリをはてなブックマークに登録    2011/2/3-1

1月27日より、エジプトがインターネットから一時的に離脱していましたが、昨晩エジプトがインターネットに復帰しました。 ここでは、エジプトでのインターネット遮断の仕組みを紹介します。

エジプトもチュニジア同様に、国境なき記者団の発表している「インターネットの敵」に含まれています。 ネットカフェなどでのネット接続やWiFiでのホットスポット接続の際に身分証明を求められ、政府に対して批判的な内容は検閲され、ブロガーが逮捕されることもあります。

そのような運用が行われているエジプトが、インターネットそのものから数日間離脱しました。 意図的に国全体がインターネットから離脱した事例は、今回が初めてだと思われます。

インターネットの仕組み

エジプトがインターネットから離脱した仕組みそのものを紹介する前に、まず、インターネットの仕組みを簡単に説明します。

インターネットの語源が「Inter-Net」であることからもわかるように、インターネットとはネットワークのネットワークです。 このときの「ネットワーク」というのは、単一の管理主体が管理する「ネットワーク」です。 各「ネットワーク」内部は、それぞれの管理主体が独自に管理し、ネットワーク同士が相互接続する部分では、相互に協調し合って繋がることでインターネットが出来上がっています。

たとえば、エジプトがインターネットに繋がっている様子は、恐らく以下のような感じになります。

このような「ネットワーク」はAS(Autonomous System、自律システム)と呼ばれ、ネットワーク同士の接続にはBGP(Border Gateway Protocol)という仕組みが利用されます。 BGPは伝言ゲームのような仕組みで、「このIPアドレスを持つネットワークはコッチを通ると行けるよ」という情報を次から次へと伝えていくことで世界中が繋がっています(詳しくは、以前書いた「BGPを解説してみた」をご覧下さい)。

エジプトでのインターネット離脱

今回の事例は、恐らく、物理的に回線を切ったわけでも、AS同士の接続を切ったわけでもありません。 エジプト国内のISPがこぞって自分への経路を削除したというものだと思われます。 そのため、インターネットの遮断も復帰も非常に迅速でした。

Arbor Networksによって公開されているエジプトでのインターネットトラフィックを見ると、遮断時に急激にトラフィックが減少している一方で、復帰時に急激にトラフィックが増加しているのがわかります。

BGPの設定を変更するだけで、非常に簡単にインターネットから離脱できることがわかります。

通常状態でのBGP

以下、エジプト国内のISPとエジプト国外のISPがBGPを利用して、どのように繋がっているかの概念図です(IPアドレスとAS番号は実在しない値です)。

通常状態では、エジプト国内のISPは自分の内部にあるネットワークに関する経路をBGPで隣接するASに伝えています。 隣接するASは、エジプト国内ISPの経路を必要に応じて他のASへと伝言ゲームのように伝えます。

離脱時の状況

エジプト国内ISPがインターネットから離脱したとき、BGPのWITHDRAWメッセージがエジプト国内ISPから送信され、それを受け取ったASは、WITHDRAWされた(引き揚げられた)経路を削除します。 このとき、BGP接続そのものは、恐らく維持されていたと推測されます。

エジプト国内ISPとBGPで接続されたASは、エジプト国内ISPへの経路を失ったことで、エジプト国内ISPが管理する内部ネットワークへの到達性を失ってしまいます。

伝言ゲーム

インターネットはネットワークのネットワークであり、世界中のASがエジプト国内ISPと直接繋がっているわけではありません。 そのため、エジプト国内ISPからの経路引き揚げメッセージは、伝言ゲームのように世界中のASへと伝えられて行ったものと思われます。

実際にどの組織がどのようにBGP上の経路を削除したのかの詳細は不明ですが、エジプト国内ISPがORIGIN AS(その経路にとっての生成元のAS)の場合を考えてみます。

ORIGIN ASであるエジプト国内ISPがBGPでWITHDRAWメッセージを送信すると、それを受け取ったASは恐らくそこへの経路を失います。 代替経路があれば、それを次のASへ転送しますが、今回の場合は恐らく代替経路が存在しなかったと推測されるので、WITHDRAWメッセージを受け取ったASはメッセージ中に含まれる経路を削除したうえで、そのメッセージを隣接するASへと伝えたと推測されます。

実際にORIGIN ASであるエジプト国内ISPがBGPで経路を削除した可能性もありますが、恐らく各種ISPの経路をトランジットしているエジプトの通信事業者(テレコム事業者)がBGPによる広報を止めたのではないかとも思います。 その詳細を述べている記事を今のところ発見出来ていませんが、Renesys Blog(A Hole in the Internet)で公開されているビデオを見ると、いくつかの組織がまとまった数の経路を止めて行ったと思われる挙動が見えます。

パラパラパラッと経路が消えて行くのが印象的です。

トランジットASがBGPでの広報を止めたのではなく、トランジットASが海外ASとのBGP接続を維持する一方で、顧客側とのBGP接続を落として行った可能性もあります。 そうすれば、エジプト国内同士のASを跨ぐ通信も遮断できますし、このビデオで表現されている経路の減り方も納得できます。 とはいえ、詳細は今のところわかりません。

最後に

恐らく、このような形でエジプトがインターネットから一時的に離脱し、国内ユーザがインターネットを通じて海外の情報を入手もしくは発信することを遮断したものと思われます。 BGPを利用したインターネットそのものの遮断は非常に簡単に行えるため、今後、このような手法が他の国でも行われる可能性は捨てきれないというのが今回の感想です。

たとえば、米国でも2009年に大統領がインターネットを遮断する法案が話題になり(参考)、今年も「Internet Kill Switch」と一部で呼ばれている法案が話題となりました。

ネット検閲を行う国は徐々に増えています。 そして、それを実現するための技術も日々向上している気がしています。

BGPによるインターネットそのものの遮断という視点で考えた時、国によっては、重要な通信を維持しつつインターネット全体を遮断する方法を技術的に模索するような研究を行うかも知れないと今回の事例を見て思いました。

インターネットが社会的にとって重要になればなるほど、現実世界の国境がインターネットを構成する大きな要素となっていくような気がしている今日この頃です。

関連

   このエントリをはてなブックマークに登録