経路ハイジャック に関連して 3ffe::/16
Published: 2008/05/24
L.ROOTの話に近いもの。
ちょっと前のIPv6の話ですが、6bone等の非商用実験プロジェクトでは「3ffe::/16」が使用されていました。ただ、このアドレスは2006年6月6日使用終了になり、それにあわせて経路情報的にも「3ffe::/16」の経路はなくなりました。
こういったときは必ず「変更に気づかない人たちがこのアドレス向けに通信しつづける」問題が発生します。
たとえば、WindowsのTeredo(RFC4380)という機能では、3ffe:831f:/32が使用されていました。この機能は、XPSP1では追加インストール、SP2以降、Vistaではデフォルトで実装されています。これはいわゆる「IPv6 over UDP(IPv4)」なトンネリング機能で、NAT内のクライアントも簡単にIPv6ネットワークに接続することを可能にするという技術です。VistaではデフォルトONになっていてインターネットに接続すると勝手にTeredoのトンネルをMicrosoftさんのサーバーに張ろうとするということで問題?話題?になった機能だったんじゃないかと思います。
Teredo利用されていたアドレスも正式に2001::/32(RFC5156)がアサインされたことから更新する必要がありました。
が、
teredoのアドレスを更新するには、WindowsUpdateで対応しないといけないというオチがあったようで、この更新を怠っていたWindows端末がこのアドレスブロックへアクセスし続けていたようです。
当然teredo以外のアプリケーションもUNIXでもこれらのアドレスへアクセスするアプリケーションはあったでしょう。やっぱりIPv6はつないでいてもまともに使っていないのか、シームレスに動いているアプリケーションがあったせいなのかわかりませんが、長期にわたりこのアドレス向けへの通信が継続し一見昔のWormの挙動に見えるようなことになってました。
この場合も、このアドレスに答える人が現れればフィッシングにつながるわけですね。IPv6だから、なんの影響もなかったわけですが。。。
L.ROOTの話もそうなのですが、こういった情報をちゃんと知っていた人ってどのくらいいたんでしょうね?運用者ですら知らない人がほとんどじゃないかな?ましてや一般の利用者は知る由もないわけで。同様の問題は多く発生し続けているんじゃないかと思います。なのに国内の関連組織?からの周知とかをちゃんとやってきていないところが問題なんじゃないかと思ってしまいますね。そのせいでより深刻な問題を生んでしまっているんじゃないかと。個々人でアンテナ高くしてろよというのは酷ですからね。
[カテゴリ:routing system security]
by jyake