IPv6がIPv4よりもセキュアになる点

2007/7/29

IPv6はIPv4よりもセキュアになる点があると思われます。 それは、攻撃者に発見されづらくなることです。

現状では、32ビットのIPv4アドレス空間に対する無差別なポートスキャンが日常化しています。 今のインターネットでは、パッチを当てていないような無防備なマシンを接続すると数分で乗っ取られてしまうということが論文などで紹介されています。

IPv4からIPv6へと移行すると、IPアドレス空間が32ビットから128ビットに増えます。 「何だたったの4倍」と思うかも知れませんが、4倍ではなく、2の96乗倍です。 (32ビット空間の4倍ならば34ビット。)

例えば、IPv6の運用で各ユーザに/64ネットワークを配ったとします。 さらに、ユーザはその/64の中に1台のPCをつなげたとします。

攻撃者は、たった1台のPCを発見するために64ビット空間を探し回らなくてはならなくなります。 今までとは違い、攻撃対象を発見するのが格段に難しくなります。 しかも、発見したところでそのPCが脆弱ではないかも知れません。

まあ、最近はワームなどではなく、メッセンジャーやWeb広告などから感染させようという手口が増えているので結局はあまり変わりは無いのかも知れません。 ただ、何も考えずにIPアドレス総当り攻撃というのはやりにくくなるという意味で、IPv6になると敷居はあがるのではないかと思われます。 ということで、IPv6ばかりの世界になれば、至上最速で伝播した伝説のUDPワームであるSQL Slammerのような事はできなくなると思われます。

それ以外の点に関してはIPv4もIPv6もあまり変わらないような気がしている今日この頃です。 多くのユーザは、現時点でもDNSなどを使ってIPアドレスを意識するような事はないですし。 (IPアドレスを覚えるのが面倒とか、運用体制とか、移行用にAF_INETをAF_INET6対応しないといけないなどの細かい話ももちろんあるとは思います。)

「今更当たり前の事言うなよ!」というお叱りはあるとは思いますが、ネタ切れなのでお許しください。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!