メルマガ購読
Internet Weekは、インターネットにかかわる人々が集まり、さまざまな課題や目の前の問題を議論し、理解と交流を深めるための非商用イベントである。今年のテーマは、「検索で明日は見つからない」。11月25日から28日の4日間に渡って行われた内容から、特に重要と思われる話題をいくつかピックアップした。
まず最初に紹介すべきは「IPv4アドレス在庫枯渇問題」に関する話題の数々であろう。IPv4アドレス在庫枯渇問題とは、インターネットにサーバを接続する際などに必要となるグローバルなIPアドレスのおおもとの在庫が無くなり、新規の需要に応えることができなくなるということを示した言葉である。データセンターやxSPなどでサーバを大量に扱う企業では無視できない問題であろう。
この対策としては、IPv6への移行、NATなどの技術を応用した延命、IPアドレスの移転などが挙げられているが、後者の二つは一時的な対策であり永続的ではないためにIPv6への移行が最善という結論が導き出されている。しかし、IPv6への移行は簡単には行えないという現状があるため、経過措置的にNAT技術を応用したり、IPアドレスの移転を混乱無く行えるようにするためのさまざまな取り組みに関する話題なども扱われた。
すでにあまりにも有名になった画像だが、たとえばサーバに接続できるセッション数を小さく制限してしまうとリッチコンテンツを扱うサービスなどで問題が起こる可能性があることを端的に示している。
このアドレス枯渇問題は、じつは10年ほど前から指摘されている。そもそもIPv6はこの問題に対応するため提唱されRFCに盛り込まれるようになったものだ。しかし、当時は、ISPの数も多く、グローバルIPアドレスによるサービスに切り替えなくてもNATを使えば十分であり、IPアドレスとユーザーの紐づけがゆるくなりプライバシー保護にもつながるとして議論が終息していった経緯がある。無理にIPv6に切り替えなくてもNATでサービスを維持できる、という認識が広まった。背景には、既存システムやネットワークのリプレースに対する漠然とした不安や負担感があったと思われる。
ISPの再編も進んだ現在、大手プロバイダーはほとんどグローバルIPアドレスをユーザーに振り出している。SaaSやクラウド化が進み、データセンターなどはいままで以上にグローバルIPアドレスを確保する必要がある。過去にアドレス枯渇問題が治まった時期を経験している層ほど要注意だ。
次の紹介は、暗号の2010年問題である。通信をする上において、その内容を第三者に読み取られないようにする暗号技術は重要な役割を担っている。しかし暗号技術は、暗号アルゴリズムの脆弱性の発見や計算機能力の向上などによって、常にその強度が相対的に下がっていくことが避けられない。そのため、一定の時期に使用する暗号アルゴリズムをより強固なものへと切り替えていく必要が生まれる。
米国では、この暗号の切替が2010年に行われることが決まっている。2-key Triple DES、1024-bit RSA、SHA-1といった、いずれも現在多方面で使われている暗号がその運用を終了するわけだ。たとえばPCのようにネットワークを通じて簡単にアップグレードができるといった方法を有していれば対処は可能だが、その一方で、アップグレードパスを持っていない組込み型やチップ内蔵型のようなケースでは対応ができない可能性が高い。
日本の携帯電話では1024ビットのRSAが使われているが、この暗号は2010年末で運用が終了してしまう。2011年以降は2048ビットのRSAに対応しなければいけないわけだが、果たして携帯電話はこの対応が取れるのだろうか? 場合によっては、2048ビットのRSAに非対応の端末からは新しいEV SSLサーバ証明書を採用したサイトとのSSL接続ができなくなる可能性が出てくることを考えなければいけなくなるかもしれない。
暗号という仕組みは、インフラに近くなればなるほどその変更が難しくなる。そのことは普段は見落とされがちがだ、どの暗号アルゴリズムを使うかといったことは十分に吟味されなければいけないことを感じずにはいられなかった。
なお、暗号化技術の運用終了というのは、認証局から発行される鍵がいままでのアルゴリズムでは使えなくなということだ。自社サーバーなどで自社サービス専用の認証を行っているような場合、ある日プログラムが突然動かなくなるということではない。
最後は、DNSにおける「カミンスキーアタック」の問題を忘れてはいけない。カミンスキーアタックとは、DNSのキャッシュサーバに偽の情報を仕込むことが可能な手法のことだが、これを悪用すると、そのキャッシュサーバを利用しているユーザーを自由に異なるサイトにアクセスさせることができるようになる。たとえばフィッシングサイトに誘導したり、何かのボットを仕込むためのサイトを誘導することが容易にできるわけだ。
この手法の詳細については、たとえば日本レジストリサービス(JPRS)の技術サイトなどで資料を見つけることができる(http://jpinfo.jp/topics-column/009.pdf)が、より重要なのは、いまだに対策が取られていないキャッシュサーバが多数存在するということである。Internet Week 2008の会期中に行われた「DNS DAY」においてJPRSの民田雅人氏が示した資料によると、JP DNSのひとつであるa.dns.jpに来るクエリ(DNSの名前解決要求)を分析したところ、カミンスキーアタックに未対応だと考えられるキャッシュサーバが全体の2割近くあるということだ。
DNSは、インターネットにとって重要な基盤技術のひとつである。そのキャッシュサーバを利用しているユーザーに不利益が及ばないよう、十分な対処は行われなければいけない。対策については、各DNSソフトウェアからパッチが出ているはずなので、それを適用するか、最新版へアップグレードするべきだろう。
インターネットが抱える3つの問題——IPアドレス枯渇、暗号化、DNSキャッシュ攻撃
2008年12月1日(月) 21時03分
セッション数を10に制限してGoogleマップを見ると穴だらけの画となってしまう(サーバに接続するIPアドレスをひねり出すために、ユーザーに割り振っているグルーバルなIPアドレスを回収しキャアグレードNATの中に収めようとしても簡単ではないことなどが紹介された)
カミングスキーアタックへの対応状況
《RBB TODAY》
注目ニュース
NTTデータは1日、インターネット上などのファイルに含まれる既知のメディアコンテンツを自動的に特定するサービスを、米BayTSP社に対して提供すると発表した。
世はSaaSやクラウドブームだ。もちろんこれだけ騒がれるのは、それ相応の背景やニーズもある。もはや、クライアント環境にOSやハイスペックコンピュータは不要だ。アプリケーションプログラムもHTTPベー...
日本インターネットプロバイダー協会(JAIPA)ほか7団体は1日、「Eメール・ウェブ適正利用推進協議会」(EWPC:Email Web Proper use promortion consortiu...
丸紅は1日、法人を対象とした大容量映像ライブラリ管理、各種メディアに対応したフォーマット変換のオンラインサービス「ChameleOnline(カメレオンライン)」のフィールドテストを開始した。
2008年1月1日〜10月31日の間に、インターネットポータルサイト「goo」で検索されたキーワードのランキング「goo年間ランキング2008」が発表された。
ソフトバンクテレコムは27日、インターネット接続サービスにおいて「総量規制方式」による利用の制限を2009年1月5日より実施すると発表した。
中部テレコミュニケーションは、光ファイバーインターネット接続サービス&光電話サービスの新メニューとして、最大通信速度上り/下り1Gbps、または300Mbpsの「1ギガ」、および「300メガ」の提供...
米ホスティング・アンド・セキュリティ(HOSTING & SECURITY)は26日、同社の専用サーバホスティングサービス「Megafactory」において、Xeonプロセッサー5400番とSASデ...
グーグルマップなどのデータ共有サービスから個人情報の流出が相次いでいるが、ネット上での個人情報流出の原因は何なのだろうか? データ共有サービスに関する意識調査を実施した。
【スピード速報】はhttp://speed.rbbtoday.com/の1週間分の計測データをもとに各種の統計データを速報でお伝えする。このサイトはIXに計測専用サーバを置き、月間計測数は数十万を超え...
ケイ・オプティコムは、12月1日からeo光ネット利用者を対象に、「リモートサポートプラス」の提供を開始する。同時に「訪問サポート」のメニューを大幅拡充し、あらたに34メニューを追加する。
米AT&Tは19日(現地時間)、アジアでは初となるスーパーIDCをシンガポールに開設すると発表した。
慶應義塾大学SFC研究所、インテック、ジュピターテレコム、ブロードバンドタワー、ワイドリサーチの5者は、2008年11月20日、地域WiMAX技術の研究開発における産学協同の取り組みについての記者説...
横浜で開催されている「Embedded Technology 2008」は、組込み機器製品と技術に関する展示会だ。マイクロソフトのブースでは、Windows CEをベースにした各種プラットフォームに...
