現在のPCなどにはすでに「IPV6」に対する機能が組み込まれていますが、
実際の利用や運用にはまだまだ・・・と言う雰囲気も漂っていますが?
すでに「IPアドレス」の枯渇が現実化している以上そんな悠長な時間的余裕はないのでしょうね。
で、この記事を読むとますますその感を深くします。
==============================
Pv6環境での脅威と対策は? IPv6技術検証協議会が報告書
@IT 10月23日(火)21時1分配信
IPv6技術検証協議会のセキュリティ評価・検証部会は10月23日、IPv6の安全性や相互運用性に関する検証結果をまとめた「IPv6技術検証競技会 最終報告書」を公開した。安全で安定したIPv6利用環境の実現に役立ててほしいとしている。
この最終報告書は、IPv6環境におけるセキュリティ上の脅威と、その対策方法についてまとめたもの。2010年7月から2012年7月にかけて、検証 施設(テストベッド)で行われた40通りの攻撃シナリオを列挙し、うち35シナリオについての検証結果を基に、どんな手法が脅威となり得るか、またその対 策手法にはどんなものがあるかを解説している。
具体的には、例えばエンドノードに対する脅威としては、近隣要請広告(Neighbor Solicitation/Neighbor Advertisement:NS/NA)の詐称による通信妨害やRH0(Route Type 0)を用いた通信妨害などが挙げられている。またネットワーク機器に対する脅威としては、不正なジャンボペイロードや不正なフラグメントパケットを用いた 通信妨害、ルータ広告メッセージ(RA)詐称などがあり、それぞれの検証結果と対策案が述べられている。
報告書によると、35シナリオのうち13個のシナリオについては、どの機器でも攻撃は成立しなかった。だが残る22個のシナリオについては、1つ以上の 機器で攻撃が成立。中には、皮肉なことにIPv6の仕様に忠実に実装した結果、攻撃が成立するものも多く見られたという。「IPv6において導入されたプ ラグアンドプレイ機能などの柔軟な設計が、その意図に反して悪用された場合に大きな脅威となりうる」(同報告書)。
対策手法としては、ネットワーク機器側に新たな機能の実装が必要なものと、運用時の設定の工夫によって回避できるものとがあり、特にDoS系の攻撃につ いては、「特定のパケットに対して破棄、あるいはレートリミットの仕組みを導入することで回避可能なものが多い」(同報告書)という。また、最新の仕様 (RFC)に従うことで回避可能な問題も含まれている。
IPv6技術検証協議会は、情報通信研究機構、F5 ネットワークスジャパン、KDDI、ソフトバンクBB、タレスジャパン、ディアイティ、東陽テクニカ、日本電信電話(NTT)、バッファロー、パロアルト ネットワークス、ブルーコートシステムズ、ブロケード コミュニケーションズ システムズ、日本マイクロソフトが参加して、2010年7月に設立された。検証は、日本マイクロソフトの大手町テクノロジーセンター内にテストベッドを構 築し、会員企業の各種製品と、情報通信研究機構が開発した攻撃ツールを導入して行った。
最終更新:10月23日(火)21時1分
