IPv6 によって緩和されるといわれる脅威のひとつとして,ネットワーク・ノードの走査 (スキャニング) があげられる. しかし,以下にみるように,IPv6 になっても絶対安全といえるわけではないので,注意が必要である.
インターネットに接続された,セキュリティ上の弱点があるネットワーク・ノード (PC などの機器) をさがすために,IP アドレスやポートの走査が頻繁におこなわれている. ノードとそこで動作しているサービスがみつかり弱点があることがわかると,そこから侵入して DDoS 攻撃 (分散サービス妨害攻撃) に使用したりするわけである.
- IPv4 の場合
- ノードがファイアウォールの内側にあったとしても,かならずこうした脅威からまもられるという保証はない. なぜならば,特に近年はウイルスに感染したノードが局所的なネットワーク内にある他のノードを検索して感染を拡大するということがおこっているからである. IPv6 とはちがって IPv4 のネットワークにおいてはサブネットの空間がおおくのばあい 8 bit しかなく,ノードの IP アドレスが比較的密に分布している. そのため,感染したノードの IP アドレスとネットワーク・プレフィクスから,走査によってその局所ネットワーク上にある他のノードの IP アドレスを容易にみつけることができる.
- IPv6 の場合
- IPv6 のネットワークにおいては,ネットワーク・プレフィクスが 64 bit 以下の長さなので,サブネットの空間はすくなくとも 64 bit あり,IP アドレスはそのなかに疎に分布している. この空間を走査するには膨大な時間がかかる. ノードを発見するためにこの空間中のアドレスを単純にすべて走査するのはほぼ不可能だということができる.
Jing Yang の報告 [Jin] によると,IP アドレスのランダム選択によってウイルスを伝搬させたばあい,IPv4 においては 8 秒程度でほとんどのノードに感染できるのに比較して,IPv6 においては 3 万年かかると計算している. そのため,理論上 IPv6 ネットワークでランダムにアドレスを選択してウィルスを伝搬させるのは困難であるという. ただし,単純なランダム選択ではなくてつぎのような条件を考慮すると,10 時間程度まで時間を短縮できるという.
- サブネット空間は 64 ビットだが,ステートレス・アドレス自動設定を使用している場合には MAC アドレスのビット幅である 48 ビット分を対象とすればよい.
- アドレスとして覚えやすい番号を選んでいることが多い.
- アドレスを覚えることが困難なため,DNS などの IP アドレスと名前を変換するシステムを利用することが多いが,そのサーバに感染すればこの変換テーブルの一部 (アドレス・リスト) が参照できる可能性がある.
したがって,IPv6 においては IP アドレス走査によるノードの発見は確かに困難にはなっているが,絶対に安全とはいえない.
(この項目の記述にあたっては “IPv6 再発見” [Fuj 05] を参照した.)
参考文献
- [Fuj 05] 藤崎 智宏,“IPv6 再発見 第 7 回 IPv6 自体のセキュリティはどうなるのか”, IPv6style, http://www.ipv6style.jp/jp/tech/20050808/index.shtml.
- [Jin] Jing Yang, “Fast Worm Propagation in IPv6 Networks”, http://www.cs.virginia.edu/~jy8y/publications/cs85104.pdf.