全インターネットを遮断できるサイバー兵器

写真拡大

それは全インターネットを遮断できるサイバー兵器で、今ある防衛では止めようがない。

―と、これを開発したミネソタ大のマックス・シュハード（Max Schuchard）氏と同僚のみなさんは言ってます。

でも大丈夫、まだ壊す気はないそうですから。この研究成果をもとに防衛改善を呼びかけているだけですよ。

シュハード氏が考えたのは、インターネットの構造そのものを逆手にとってインターネットを潰す新たな攻撃手段です。

ネットでは毎分何百もの接続ポイントがオフラインになるけど、ネットはそれを迂回するので、誰も気づきませんよね。ああいうことが可能なのも、インターネットを構成するもっと小さなネットワーク　―自律システム（autonomous systems、AS）と呼ぶ―　がルータ経由で互いに交信し合っているから。ある通信パスが変わると、近くのルータがボーダー・ゲートウェイ・プロトコル（BGP）というシステムを通して近所のルータに連絡します。すると連絡を受けたルータがそのまた近所のルータに連絡し、パス変更の情報がインターネット全体に広がっていくんですね。

インターネット攻撃メソッドで発見が先だったのは、4年前に米国の研究者が考えた手法で、そちらには考案した3人（Zhang、Mao、 Wang）の頭文字をとって「ZMW」という呼び名がついています。これはBGPに干渉し、リンクがオフラインであるかのように見せかけて2つのルータ間の接続を破壊する手法。

シュハード氏と同僚のみなさんは、このZMWによる破壊を全インターネットに広める手法を考え、影響をシミュレートしてみたのです。
　

局部攻撃

その攻撃を仕掛けるには、巨大なボットネットが必要です。つまりソフトウェアに感染し、外部から制御可能となったコンピュータのネットワーク、ですね。シュハード氏の考察によれば、そういうマシンがざっと25万台もあれば十分インターネットは遮断できるそうです。

ボットネットは、トラフィックを集中投下して負荷超過でウェブサーバーをダウンさせるDDoS攻撃によく使われますけど、この新たな攻撃はあれとは別物。

「普通のDDoSがハンマーなら、こっちは外科用メスに近い」とシュハード氏は言います。「斬り込む場所を間違えると、攻撃はうまくいかないんだ」

シュハード氏が考えたサイバー兵器では、まず、攻撃主からボットネット内のコンピュータとコンピュータの間にトラフィックを送り、コンピュータ間のパスのマップを作ります。で、異なるパス多数に共通するリンクを割り出し、そこにZMW攻撃を仕掛け、リンクを遮断するんです。するとこれに反応して近隣のルータからBGPのアップデートが送信され、他所のトラフィックのルートを変更するよう呼びかけますよね。その直後に、切断したルータ同士を再接続してやると、そのルータ自身からBGPのアップデートが送信されるので、攻撃用に送ったトラフィックがワッと舞い戻ってきて、またそのリンクは遮断されます。

このサイクルを繰り返しやると、遮断・リンク再形成のたびにBGPのアップデートの大波がネット上のルータというルータすべてに送られてゆき、世界中のルータ1個1個の処理能力がパンク。攻撃開始から20分後には、処理能力の100倍を要する処理待ちの列が形成されます。

言うまでもなく、これは大問題です。

「コンピュータ処理負荷が極端にかかると、ルータも変調を来すものだからね」（シュハード氏）。世界中のルータがビジー状態だと、自然に発生するルートのリンク切れも修正されないので、最終的にはインターネットが穴だらけになって通信不能に陥る、というわけ。そうなると修復までには何日もかかるだろうと、シュハード氏は見ています。

「ひとたびこの攻撃が発動されたら、もう技術的対処ではムリで、ネットワークオペレータ同士が互いに口で喋り合って解決する以外なくなるだろう」（同氏）。各自律システムをいったん遮断して再起動しないと、BGPのバックログは消去できなくなるんです。

メルトダウンが起こる可能性は低い

つまり...インターネットのメルトダウンは避けられないの？　たぶん、それはないです。悪玉ハッカーがこの攻撃を仕掛ける可能性はまずないので。何故なら、ネットワークのマッピングをして攻撃対象のリンクを絞り込む部分はこれかなり高度な技術を要する作業なんですね。それに、この攻撃を発動できるだけ巨大なボットネットを抱えてる人は商用レンタルで利益を上げている人がほとんどなので。

ひとつ考えられるのは、全面サイバー戦争で敵のサイバー攻撃を交わす最後の手段として使うシナリオです。ある国家がBGPを調整することで国のインターネットを遮断し、跳ね橋を上げることは可能です。2週間前エジプトで起こったように。こうして海外との接触を絶った上で、国外のエージェント（工作員）が攻撃をローンチすれば、世界中のインターネットはダウンし、攻撃主の国内ネットワークだけは温存できることになります。

無防備

誰が攻撃を仕掛けるにせよ、ひとたび始まれば打つ手なし、です。シュハード氏が行ったシミュレーションでは、BGPが実装する既存のフェイルセーフ（万一に備える安全装置）も、この攻撃に対しては何の防衛にもならないことが示されています。こうしたものを想定した設計にはなってないんですね。

ひとつの解決手段は、BGPのアップデートを、他のデータから隔離されたネットワークを経由して送信することですが、これはつまりはシャドー・インターネットを裏に構築するってことですから実践向きとは言えません。

あとひとつの解決策は、BGPシステムに変更を加え、リンクが絶対切れない想定にしちゃうことですね。しかし研究者たちのモデルによれば、インターネット上の全自律システムの最低でも10％に変更を加えないと防衛の役には立たないし、いったん変更しちゃうとネットワークオペレータが別の方法で接続状態を監視しなくてはならなくなるんですね。シュハード氏は、ひとりひとりオペレータを説得し、変更に応じてくれる人数を揃えるのは容易じゃないだろうと話しています。

「世界中のインターネットのルーティングシステムを遮断することが可能かどうかは、誰にもわからんよ」と語るのはロンドン大学のネットワークシステムの専門家マーク・ハンドレイ（Mark Handley）氏。確かにこの攻撃はインターネットに「大混乱」をもたらし、その影響は2003年のSlammerワームの被害を上回るだろうけど、さりとて全遮断まで行くとは考えにくいと、氏は言います。

「論文に記載されているシミュレーションでは、物事を単純に想定している部分が多々ある。無論これだけのスケールのものをシミュレートするには必要なことだがね」、「この記述の通りインターネットが動くとは私には思えんよ」（ハンドレイ氏）

さて、どうなんでしょうね？

シュカード氏と同僚のみなさんは今月8日、カリフォルニア州サンディエゴで開かれたシンポジウム「Network and Distributed System Security Symposium」で成果を報告しました。

人類の研究努力の成果を社会・文化の文脈に照らして報道・分析・解説し、科学技術のニュースを分かりやすくお届けする「New Scientist」からのゲスト寄稿です。

Image Credit: noii flickr

Jacob Aron - New Scientist（原文／satomi）