第２０３号コラム「IPv4/v6共存環境下でのネットワーク・フォレンジック」

第２０３号コラム：佐々木 良一　会長（東京電機大学　未来科学部　情報メディア学科　教授）
題：「IPv4/v6共存環境下でのネットワーク・フォレンジック」

最近、新しいタイプのサイバー攻撃が、政府や企業にとって大きな脅威となってきているのはご存じのとおりである。従来の攻撃が不特定多数を対象にするのに対し、新しい攻撃は重要性の高い組織や個人を標的に、執拗かつ継続的に攻撃を行う。攻撃の多くは国家の指示または資金援助によって実施されていると言われている。過剰に反応すべきではないが、平時のサイバー戦が既に始まっているという認識は持たざるを得ないだろうとも思う。

ご存知のように三菱重工や衆議院への攻撃は以下のようにして行われた。
〈①初期侵入段階〉いかにも本物のように偽装したメールを、狙いをつけた個人のパソコンに送るメールの添付ファイルには、ウイルスが含まれており、不用意に開くと、感染する。
〈②侵入範囲拡大段階〉ウイルスは、外部から新しい攻撃命令を受けたり、「武器」に相当する
プログラムをダウンロードしたりしながら増殖する。侵入したパソコンがつながったネットワーク内に、攻撃を受けやすい欠陥があると、そこを通じて次々にサーバーやパソコンを感染させ、命令通りに動くようにしていく。
〈③目的達成段階〉ウイルスに感染したサーバーなどから機密情報を取り出し、各種の手段で外部へ送り出すなどの不正行為を行う。

このうち、①に対応するものが入口対策、②③に対応するものが出口対策と言われているものである。入口対策、出口対策ともいろいろな対策が提案されているが、具体的な対策を決定する上で必要となるのが、適切なログの収集保存と解析を行うデジタル・フォレンジック技術であろう。従来、サーバ系のログはとられてきたがパケット情報などのネットワーク系のログの収集保存は不十分であった。しかし、これでは情報流出があったのかなかったのか、あったとすればどこからあったのかなどを確認することが困難である。このためネットワーク系のログの収集保存解析技術であるネットワーク・フォレンジックが注目されている。

ネットワーク・フォレンジックとして、新しいタイプの攻撃などに対応するため最低限やらなければならないのはパケットなどのログの保存の強化であろう。Firewall、IDSなどで内部から外部への送信に対するフィルタリング設定を強化し、不正の兆候が残りやすいようにしていくべきだろう。なかには全通信パケットの保存を行う組織も出てきている。
次に必要なのがログ間の相関の把握であろう。このためにはいろいろなログ収集機器のシステム時刻をタイムサーバを用いて同期することが不可欠である。また、フォーマットを合わせ、相互の関連を分析しやすくする対策も必要になる。さらにビッグデータとなるログ解析の高速化やログ消去対策なども解決すべき課題である。

さて一方、IPv4アドレスの枯渇が進んでおり、IPv6の導入が進みつつある。IPv6はIPSecが標準実装されているので、セキュリティが向上すると期待されているが、IPSecで実現できるのは主に改ざん検知と通信路暗号の機能だけであり、セキュリティを守るためにはこれだけでは不十分であろう。例えばDDoS攻撃などはIPSecがあっても防止できないのである。

このため、IPv6に関連するセキュリティの問題を今からしっかり考えていく必要がある。IPv6に関連するセキュリティの問題は以下のように分類できると考えている。
（１）仕様上の問題、実装上の問題
（２）IPv6単体での問題、IPv4/v6共存下における問題
（３）セキュリティ固有の問題、ディペンダビリティと関連する問題

このうち、最も重要なのはIPv6単体での問題ではなくIPv4とv6共存下における問題であろう。すなわち、IPv4/v6共存環境においては以下のような問題が生じる。
（１）IPv4用には使えるがIPv6用にはうまく機能しなくなる問題
（例）IPアドレスを入力させるのにIPv4用のフィールドしか用意していない
（２）IPv4用のセキュリティ対策を打とうとするとIPv6で機能障害が起こる問題
（例）IPv4のセキュリティ用にICMPのフィルタリングをするとIPv6が機能しなくなる

しかもIPv4/v6共存環境においては、運用の要請と作業量はIPv4、v6の２倍ではなく場合によってはIPv4からv6、IPv6からv4を含め４倍まで膨らむのではないかと考えられる。この状態でディペンダビリティが失われると障害きりわけに４倍の知識が必要となり、コミュニケーションロスなどにより再立ち上げに膨大な時間がかかる可能性がある。そして、このディペンダビリティを失わせるセキュリティ攻撃が巧妙に行われるとサイバーテロともいうべき状態を発生させうるのではないかと心配している。

IPv4/v6共存環境において、ネットワーク・フォレンジックを適切に行うために何が必要かを今から考えておくことも大切である。IPv4/v6共存環境は確実に発生し、ネットワーク・フォレンジックも今以上に大切になるからである。すでにいろいろなところで検討され、解も出されているかもしれないが、簡単な調査の範囲では見当たらなかったので私なりに考えてみた。

IPアドレスを入力させるのにIPv4用のフィールドしか用意していないなどというIPv4用には使えるがIPv6用にはうまく機能しなくなる問題は、ネットワーク・フォレンジックの世界でも確実に起こるので今から対応が不可欠であろう。IPv4のセキュリティ用にICMPのフィルタリングをするとIPv6が機能しなくなるといったような、IPv4用のセキュリティ対策を打とうとするとIPv6で機能障害が起こる問題が、ネットワーク・フォレンジックの世界で起こるかどうかは不明である。関係者の検討を期待している。

IPv4/v6共存環境においては、運用の要請と作業量はIPv4、v6の２倍ではなく場合によってはIPv4からv6、IPv6からv4を含め４倍まで膨らむという問題はネットワーク・フォレンジックの場合でも確実に起こるだろう。今後、知識の共有やサポートシステムの開発など効率的に作業を行えるようにするための対策が必要になっていくと考えている。

【著作権は佐々木氏に属します】