NICT NEWS

IPトレースバック技術とは

現在、インターネットでは様々なサイバーテロ攻撃が行われています。とりわけISP（Internet Services Provider）のオペレータは、最も脅威である攻撃として、サービス運用妨害（DoS: Denial of Services）を挙げています。DoS攻撃では送信元のIPアドレス偽装が行われているのが通常であり、攻撃の発信源を探索することが困難となります。また、この攻撃は、被害を受けているISP側では対策を講じることが難しく、インターネット上の組織全体が連携しないと攻撃に対しての有効な対策が行えない、という問題がありました。

IPトレースバック技術は、特定のパケットの送信元を追跡する技術です。サイバー攻撃において、たとえ送信元のアドレスが偽装されていたとしても、その真の発信源を探索することが可能になります。

IPトレースバックの仕組み

IPトレースバックは、まず攻撃を受けている端末のユーザが「攻撃である」と思わしきパケットの追跡要求を発行します。パケットの情報は一方向性のハッシュ関数*1によって符号化され、ユーザが属しているISPなど各自律システム（AS：Autonomous System）に設置されるトレースバック装置に伝達されます。

依頼を受けたトレースバック装置は、問題のパケットが外部から流入したパケットなのか、あるいは自分たちの組織が発信源なのかをそれぞれ独自に調査します。問題のパケットが、隣接するASから流入していることがわかった場合、そのASに対して追跡依頼を発行します。

このように再帰的に追跡を行うことにより、問題のパケットを送信した実際のASの特定および攻撃経路の特定を行います。

普及の取り組み

IPトレースバック技術をインターネットに広く普及させるため、NICTトレーサブルネットワークグループでは国際標準化・実証実験・オープンソースの3本柱を掲げ、普及活動に取り組んでいます。

国際標準化としてはIPトレースバックを含むサイバーテロ攻撃対策全般について、事業者間で交換される情報およびそのプロトコルの標準化活動を行っています。現在、国際標準化組織ITU-Tでは SG-17に、インターネット技術タスクフォースのIETF*2ではSAVI WG*3に参加しています。なお、ITU-Tでの活動は3ページからのCYBEXの記事に詳細があります。

また、普及への足がかりには導入事例が必要です。2009年度には北海道から沖縄まで全国に所在する15社のISPの協力を得て、IPトレースバック技術の実証実験を行いました。この実験では、発信源のIPアドレスが詐称されたパケットによる模擬サイバー攻撃を発生させ、逆探知に成功しました。実インターネットにおける複数のISPにまたがるトレースバック実験は世界初の試みです。

さらに、IPトレースバック技術の導入を促進するため、参照実装*4であるInterTrackをオープンソースにより公開しています。商用・非商用問わず、どなたでも自由に改変して利用することが可能です。

※ダウンロードサイトはhttp://intertrack.naist.jp/

今後の展望

IPトレースバック装置をISPに導入してもらうためには、技術面以外にも様々な課題があります。本質的にIPトレースバック技術は「誰と誰が通信しているか」を特定するものですが、この機能が「通信の秘密の保護」に抵触しないのかという相談を受けることもあります。現段階では「正当業務行為」としてIPトレースバックを行えるよう司法関係者への相談を継続しています。

また、IPトレースバック装置を運用するためには装置がどのように接続されているか、あるいはどのパケットを追跡しているのかをISPのオペレータが把握しやすくするための工夫が必要になります。現在は、こうした運用支援ツールの開発や、図解を盛り込んだドキュメントの制作・提供に取り組んでいます。

用語解説

*1　ハッシュ関数：データを固定長の文字列に変換する関数。変換後の文字列から元のデータを推測したり異なるデータが同じ文字列を出力する可能性が非常に低いという特性を持っている。
*2　IETF：Internet Engineering Task Forceの略。インターネットで利用される技術を標準化する組織。
*3　SAVI WG：SAVIはSource Address Validation Improvementsの略。LAN環境において、始点アドレスの詐称を防ぐ機構について検討するワーキンググループ。
*4　参照実装：設計が実際に機能することの証明や、他者がそれを参考にして独自にソフトウェアを作成することを助ける目的で作られたソフトウェア。ソフトウェアに限らず、ハードウェアにおいても参照実装が存在する。

宮本大輔（みやもとだいすけ）: 情報通信セキュリティ研究センタートレーサブルネットワークグループ専攻研究員
2000年に関西学院大学商学部を卒業。2002年に奈良先端科学技術大学院大学情報科学研究科情報処理学専攻より修士（工学）を取得。2002年アクセリア株式会社に入社し、コンテンツ配信事業に従事。2009年に奈良先端科学技術大学院大学情報科学研究科情報処理学専攻にて博士（工学）を取得し、同年よりNICT勤務。IPトレースバック、フィッシング対策、テストベッドなどの研究に従事。

		IPトレースバック技術とは現在、インターネットでは様々なサイバーテロ攻撃が行われています。とりわけISP（Internet Services Provider）のオペレータは、最も脅威である攻撃として、サービス運用妨害（DoS: Denial of Services）を挙げています。DoS攻撃では送信元のIPアドレス偽装が行われているのが通常であり、攻撃の発信源を探索することが困難となります。また、この攻撃は、被害を受けているISP側では対策を講じることが難しく、インターネット上の組織全体が連携しないと攻撃に対しての有効な対策が行えない、という問題がありました。 IPトレースバック技術は、特定のパケットの送信元を追跡する技術です。サイバー攻撃において、たとえ送信元のアドレスが偽装されていたとしても、その真の発信源を探索することが可能になります。 IPトレースバックの仕組み IPトレースバックは、まず攻撃を受けている端末のユーザが「攻撃である」と思わしきパケットの追跡要求を発行します。パケットの情報は一方向性のハッシュ関数1によって符号化され、ユーザが属しているISPなど各自律システム（AS：Autonomous System）に設置されるトレースバック装置に伝達されます。依頼を受けたトレースバック装置は、問題のパケットが外部から流入したパケットなのか、あるいは自分たちの組織が発信源なのかをそれぞれ独自に調査します。問題のパケットが、隣接するASから流入していることがわかった場合、そのASに対して追跡依頼を発行します。このように再帰的に追跡を行うことにより、問題のパケットを送信した実際のASの特定および攻撃経路の特定を行います。普及の取り組み IPトレースバック技術をインターネットに広く普及させるため、NICTトレーサブルネットワークグループでは国際標準化・実証実験・オープンソースの3本柱を掲げ、普及活動に取り組んでいます。国際標準化としてはIPトレースバックを含むサイバーテロ攻撃対策全般について、事業者間で交換される情報およびそのプロトコルの標準化活動を行っています。現在、国際標準化組織ITU-Tでは SG-17に、インターネット技術タスクフォースのIETF2ではSAVI WG3に参加しています。なお、ITU-Tでの活動は3ページからのCYBEXの記事に詳細があります。また、普及への足がかりには導入事例が必要です。2009年度には北海道から沖縄まで全国に所在する15社のISPの協力を得て、IPトレースバック技術の実証実験を行いました。この実験では、発信源のIPアドレスが詐称されたパケットによる模擬サイバー攻撃を発生させ、逆探知に成功しました。実インターネットにおける複数のISPにまたがるトレースバック実験は世界初の試みです。さらに、IPトレースバック技術の導入を促進するため、参照実装4であるInterTrackをオープンソースにより公開しています。商用・非商用問わず、どなたでも自由に改変して利用することが可能です。 ※ダウンロードサイトはhttp://intertrack.naist.jp/ 今後の展望 IPトレースバック装置をISPに導入してもらうためには、技術面以外にも様々な課題があります。本質的にIPトレースバック技術は「誰と誰が通信しているか」を特定するものですが、この機能が「通信の秘密の保護」に抵触しないのかという相談を受けることもあります。現段階では「正当業務行為」としてIPトレースバックを行えるよう司法関係者への相談を継続しています。また、IPトレースバック装置を運用するためには装置がどのように接続されているか、あるいはどのパケットを追跡しているのかをISPのオペレータが把握しやすくするための工夫が必要になります。現在は、こうした運用支援ツールの開発や、図解を盛り込んだドキュメントの制作・提供に取り組んでいます。用語解説 1　ハッシュ関数：データを固定長の文字列に変換する関数。変換後の文字列から元のデータを推測したり異なるデータが同じ文字列を出力する可能性が非常に低いという特性を持っている。 2　IETF：Internet Engineering Task Forceの略。インターネットで利用される技術を標準化する組織。 3　SAVI WG：SAVIはSource Address Validation Improvementsの略。LAN環境において、始点アドレスの詐称を防ぐ機構について検討するワーキンググループ。 4　参照実装：設計が実際に機能することの証明や、他者がそれを参考にして独自にソフトウェアを作成することを助ける目的で作られたソフトウェア。ソフトウェアに限らず、ハードウェアにおいても参照実装が存在する。宮本大輔（みやもとだいすけ）情報通信セキュリティ研究センタートレーサブルネットワークグループ専攻研究員 2000年に関西学院大学商学部を卒業。2002年に奈良先端科学技術大学院大学情報科学研究科情報処理学専攻より修士（工学）を取得。2002年アクセリア株式会社に入社し、コンテンツ配信事業に従事。2009年に奈良先端科学技術大学院大学情報科学研究科情報処理学専攻にて博士（工学）を取得し、同年よりNICT勤務。IPトレースバック、フィッシング対策、テストベッドなどの研究に従事。
独立行政法人情報通信研究機構総合企画部広報室