ソリューション
優れたオンライン体験を提供
DDoS攻撃を軽減 悪意のあるボット乱用の阻止 インターネットアプリケーションを高速化 アプリケーションの可用性を確保 Web体験を最適化する オンデマンドでビデオをストリーミング
従業員のアプリケーションとデバイスを保護する
アプリケーションへのゼロトラストアクセスを提供する セキュアアクセスサービスエッジ(SASE)を実装する インターネットにアクセスするユーザーの保護 コーポレートネットワークを保護する 請負業者のアクセスを安全に管理 仮想プライベートネットワーク(VPN)を替える リモートワーク中の社員を守る ブラウザ分離でゼロデイ攻撃を阻止する
 
ネットワークの保護と高速化
L3 DDoS攻撃の軽減 Cloudflareでネットワークインフラストラクチャを接続 企業ネットワークを変革する
ネットワークエッジでコードを実行
サーバーレスアプリケーションの構築 静的Webサイトのデプロイ CDNの設定 条件付リクエストルーティングを定義する
安全なクラウドの管理
安全でハイブリッドなクラウドとSaaSプラットフォーム SSL for SaaSアプリケーションを有効にする クラウドデータ転送コストの削減
Webサイトを登録する
Webサイトの登録または転送
業界
eコマース 金融サービス ゲーミング Healthcare and Life Sciences メディア、エンターテイメント 公共部門 SaaS
公共の利益
選挙キャンペーン アテネプロジェクト ガリレオプロジェクト Project Fair Shot
インフラストラクチャについて
アプリケーションとネットワークセキュリティ
DDoS保護 WAF ボット管理 Magic Transit Rate Limiting SSL/TLS Cloudflare Spectrum ネットワーク相互接続
パフォーマンスと信頼性
CDN DNS Argo Smart Routing 負荷分散 Stream配信 China Network Waiting Room
Cloudflare for Teams
Cloudflare for Teams Access ゲートウェイ ブラウザ分離
開発者向け
サーバーレスアプリケーション
Cloudflare Workers Cloudflare Workers KV
ドメイン登録
Cloudflare Registrar
Webサイトの開発
Cloudflare Pages Cloudflare Stream
すべての人のために
1.1.1.1 1.1.1.1 with WARP (アプリ) 1.1.1.1 for Families
インサイト
Analytics Cloudflare Logs Web Analytics Cloudflare Radar
プライバシー
データローカライゼーション コンプライアンス
インフラストラクチャについて
高度なセキュリティ
ボット管理 ファイアウォールルール Magic Transit Spectrum(TCP/UDP) SSL WAF
パフォーマンスと信頼性
CDN DNS Image Resizing 負荷分散 ストリーミング(ビデオ)
 
インサイト
Analytics
ドメイン登録
Registrar
サーバーレスアプリケーションについて
Workersクイックスタート Cloudflare Pages サンプルWorkersプロジェクト Workersチュートリアル コマンドライン (Wrangler) ランタイム
Cloudflare for Teams
Cloudflare for Teams
CloudflareのAPIについて調べる
Cloudflare API API認証
ドキュメントハブ
デベロッパー向けドキュメントハブ
リソース
リソースハブ ホワイトペーパー ウェビナー ソリューションと製品ガイド 導入事例 アナリスト
探求
最新情報 ネットワークマップ 中国のCloudflare GDPR
開始する
Webサイトを登録する ウェルカムセンター 申し込む
学ぶ
ラーニングセンター セキュリティ DDoS ボット管理 SSL IDとアクセス管理 パフォーマンス CDN DNS クラウド サーバーレス ネットワーク層
接続
ブログ コミュニティ
コンプライアンス
GDPR 透明性レポート コンプライアンス
お問い合わせ
+1 650 319 8930
チャネルおよびアライアンスパートナー
パートナーネットワーク パートナーポータル
テクノロジーパートナー
概要 分析パートナー 帯域幅アライアンス 相互接続パートナーシップ ピアリングポータル
プラン別の価格設定
Free Pro Business Enterprise
比較と検討
プラン選びで、何かお困りですか? アドオン すべてのプランを比較する

BGPハイジャックとは?

BGPハイジャックは、インターネットのルーティングプロトコルであるBGPの信頼性を悪用するインターネットトラフィックの悪意のある再ルーティングです。

Share facebook icon linkedin icon twitter icon email icon
Webアプリケーションセキュリティとは?
一般的な脅威
用語集
HTTPSを使用する理由とは?
グローバルDNSハイジャック
  • Webアプリケーションセキュリティとは?
  • 一般的な脅威
  • 中間者攻撃
  • ブルートフォースアタック(総当たり攻撃)
  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • SQLインジェクション
  • ソーシャルエンジニアリング攻撃
  • KRACK攻撃
  • Zero-Day Exploit
  • 用語集
  • データ漏えい
  • OWASPトップ10
  • メルトダウン/スペクター
  • 悪意のあるペイロード
  • 侵入テスト
  • ファイアウォールとは?
  • スワッティングとは?
  • BGPとは?
  • BGPハイジャック

    BGPハイジャックとは?

    BGPハイジャックは、攻撃者が悪意を持ってインターネットトラフィックを再ルーティングする場合です。攻撃者は、IPプレフィックスと呼ばれる IPアドレスグループの所有権を誤って発表し、これを実際に所有、制御、またはルーティングしません。 BGPハイジャックは、誰かが高速道路のすべての標識を変更し、自動車のトラフィックを誤った出口に再ルーティングするようなものです。

    BGP Hijacking Reroute

    BGPは相互接続されたネットワークが所有するIPアドレスについて真実を伝えているという前提に基づいて構築されているため、BGPハイジャックを止めることはほぼ不可能です。高速道路標識を見ている人がいない場合を想像してください。そして、それらが悪意を持って変更されたかどうかを知る唯一の方法は、多くの自動車が間違った地域に行き着くのを観察することだけです。ただし、ハイジャックが発生するためには、攻撃者は1つの自律システム(AS)と別の自律システム(AS)をブリッジするBGP対応ルーターを制御または侵害する必要があるため、誰もがBGPハイジャックを実行できません。

    BGPとは?

    BGPはボーダーゲートウェイプロトコルlの略で、インターネットのルーティングプロトコルです。言い換えれば、トラフィックが可能な限り効率的にIPアドレスから別のIPアドレスに移動するように方向を提供します。 IPアドレスは、特定のWebサイトの実際のWebアドレスです。ユーザーがWebサイト名を入力し、ブラウザーがそれを見つけて読み込むと、リクエストと応答はユーザーのIPアドレスとWebサイトのIPアドレス間を行き来します。 DNS (ドメインネームシステム)サーバーはIPアドレスを提供しますが、BGPはそのIPアドレスに到達する最も効率的な方法を提供します。大まかに言えば、DNSがインターネットのアドレス帳である場合、BGPはインターネットのロードマップです。

    それぞれのBGPルーターは、自律システム間の最適なルートを含むルーティングテーブルを保存します。これらは、それぞれのAS *(多くの場合、インターネットサービスプロバイダー(ISP))が所有する新しいIPプレフィックスをブロードキャストするときにほぼ継続的に更新されます。 BGPは、ネットワーク間で可能な限り少ないホップを介してIPアドレスに到達するために、ASからASへの最短かつ最も直接的なパスを常に優先します。

    *自律システム(AS)の定義

    自律システムは、単一の組織によって管理される大規模なネットワークまたはネットワークのグループです。 ASには多くのサブネットワークがありますが、すべてが同じルーティングポリシーを共有します。通常、ASはISPか、独自のネットワークとそのネットワークからISPへの複数のアップストリーム接続(これは「マルチホームネットワーク」と呼ばれます)を備えた非常に大きな組織です。各ASには、簡単に識別できるように、独自の自律システム番号(ASN)が割り当てられます。

    BGPが重要な理由とは?

    BGPは、インターネットの大規模な成長を可能にします。インターネットは、相互接続された複数の大規模ネットワークで構成されています。分散化されているため、データパケットが目的のIPアドレスの宛先に移動するための最適なルートを規定する管理機関やトラフィック警官は存在しません。 BGPはこの役割を果たします。 BGPを使用しない場合、Webトラフィックは、非効率的なルーティングのために宛先に到達するのに膨大な時間がかかるか、意図した宛先にまったく到達しません。

    BGPはどのようにハイジャックできますか?

    ASが実際に制御しないIPプレフィックスへのルートをアナウンスすると、このアナウンスは、フィルタリングされない場合、インターネット全体に拡散し、BGPルーターのルーティングテーブルに追加されます。その後、誰かがルートに気づき、修正するまで、それらのIPへのトラフィックはそのASにルーティングされます。財産行為を確認し、施行する地方政府がない場合に、領土を獲得できるようなものです。

    BGPは常に、目的のIPアドレスへの最短で最も具体的なパスを優先します。 BGPハイジャックが成功するためには、ルートアナウンスメントは次のいずれかでなければなりません:

    1)他のASが以前に発表したよりも狭い範囲のIPアドレスを発表することにより、より具体的なルートを提供します。

    2)IPアドレスの特定のブロックへの短いルートを提供します。さらに、誰もがより大きなインターネットへのBGPルートを発表できるわけではありません。 BGPハイジャックが発生するためには、ASのオペレーター、またはASを侵害した脅威アクターによって発表が行われる必要があります(2番目の事例はよりまれです)。

    BGP Hijacking Flow

    多くがISPである大規模ネットワークまたはネットワークグループのオペレーターが、そのような悪意のある活動を大胆に引き受けるのは驚くべきことかもしれません。しかし、いくつか数えると、現在世界中で80,000を超える自律システムがあることを考慮すると、一部のシステムが信頼できないものになったとしても驚くことではありません。さらに、BGPハイジャックは必ずしも明白または簡単に検出できるとは限りません。悪役は、他のASの背後で活動をカモフラージュしたり、レーダーの下に留まるために気付かれそうにないIPプレフィックスの未使用ブロックをアナウンスしたりする場合があります。

    BGPがハイジャックされるとどうなりますか?

    BGPハイジャックの結果として、インターネットトラフィックは間違った方向に進み、監視または傍受されたり、「ブラックホール」化したり、中間者攻撃の一部として偽のWebサイトに誘導されたりする可能性があります。さらに、スパマーは、BGPハイジャック、またはBGPハイジャックを実行するASのネットワークを使用して、スパミング目的で正当なIPをスプーフすることができます。ユーザーの観点から見ると、リクエストと応答は最も効率的なネットワークルートをたどらず、不必要に世界中を移動する可能性があるため、ページ読み込み時間が長くなります。

    最良のシナリオでは、トラフィックは不必要に長いルートをたどるだけで、レイテンシーが長くなります。最悪のシナリオでは、攻撃者が中間者攻撃を実行したり、資格情報を盗むためにユーザーを偽のWebサイトにリダイレクトしたりする可能性があります。

    現実世界でのBGPハイジャック

    意図的なBGPハイジャックの実際の例は数多くあります。たとえば、2018年4月、ロシアのプロバイダーは、実際にRoute53 Amazon DNSサーバーに属する多数のIPプレフィックス(IPアドレスのグループ)を発表しました。要するに、最終結果は、暗号通貨サイトにログインしようとするユーザーが、ハッカーによって制御されているWebサイトの偽のバージョンにリダイレクトされるということでした。したがって、ハッカーは暗号通貨で約152,000ドルを盗むことができました。 (より具体的に言うと:ハッカーは、BGPハイジャックを介してAmazon DNSクエリをハイジャックし、myetherwallet.comのDNSクエリが制御するサーバーに行き、間違ったIPアドレスを返し、HTTPリクエストを偽のWebサイトに送信しました。詳細については、ブログの投稿「BGPリークと暗号通貨」を参照してください。

    BGPハイジャックの偶発的なインスタンスも一般的であり、グローバルインターネット全体に悪影響を及ぼす可能性があります。 2008年、パキスタン政府が所有するパキスタンテレコムは、WebサイトのBGPルートを更新することにより、パキスタン内のYoutubeを検閲しようとしました。偶然にも新しいルートがパキスタンテレコムのアップストリームプロバイダーに発表され、そこからインターネット全体に放送されたようです。突然、Youtubeに対するすべてのWebリクエストはパキスタンテレコムに向けられ、ほとんどすべてのインターネットでWebサイトが数時間にわたって停止し、ISPを圧倒しました。

    ユーザーとネットワークはどのようにしてBGPハイジャックから身を守ることができますか?

    インターネットトラフィックのルーティング方法を常時監視することは別として、ユーザーとネットワークは、BGPハイジャックを防止するためにほとんど何もできません。

    IPプレフィックスフィルタリング

    ほとんどのネットワークは、必要な場合にのみIPプレフィックス宣言を受け入れ、インターネット全体ではなく特定のネットワークにのみIPプレフィックスを宣言する必要があります。そうすることで、偶発的なルートハイジャックを防ぎ、ASが偽のIPプレフィックス宣言を受け入れないようにすることができます。ただし、実際にはこれを実施するのは困難です。

    BGPハイジャック検出

    レイテンシーの増加、ネットワークパフォーマンスの低下、およびインターネットトラフィックの誤った方向付けは、すべてBGPハイジャックの兆候です。大規模なネットワークの多くは、BGP更新を監視して、クライアントがレイテンシー問題に直面していないことを確認します。実際、数人のセキュリティ研究者がインターネットトラフィックを監視し、調査結果を公開しています。

    BGPをより安全にするには

    BGPは、インターネットを機能させるように設計されており、確かに機能します。ただし、BGPはセキュリティを考慮して設計されていません。インターネット全体のより安全なルーティングソリューション(BGPsecなど)が開発されていますが、まだ採用されていません。当分の間、BGPは本質的に脆弱であり、引き続き脆弱です。

    CloudflareはどのようにBGPを使用しますか?

    Cloudflareには、世界中に194以上のデータセンターがあり、そのすべてが1つのASN(AS13335)と同じIPプレフィックスをブロードキャストしています。これにより、CloudflareがホストするIPアドレスに到達するために通過する必要があるネットワークトラフィックの数が最小限に抑えられます。その結果、Cloudflareが所有するIPアドレスへの効率的なパスを世界中のほぼどこからでも利用できます。日本のASの場合、Cloudflare IPへの最短経路は、わずか数ネットワークホップ離れているだけで、日本に拠点を置くローカルのCloudflareデータセンターに至ります。カリフォルニアでは、トラフィックは同じIPアドレスに送られ、同じCloudflare AS内でホストされ、カリフォルニアのデータセンターを経由して到達する場合があります。

  • HTTPSを使用する理由とは?
  • グローバルDNSハイジャック

BGPハイジャック

学習目的

この記事を読み終えると、以下のことができます。

  • BGPハイジャックの定義
  • BGPハイジャックの実際の例について
  • BGPハイジャックを防止するためのいくつかの対策の概要

関連コンテンツ

BGPとは?

SSLとは?

データ漏えいとは?

VPNとは?

TLSとは?

BGPハイジャックとは?

BGPハイジャックは、攻撃者が悪意を持ってインターネットトラフィックを再ルーティングする場合です。攻撃者は、IPプレフィックスと呼ばれる IPアドレスグループの所有権を誤って発表し、これを実際に所有、制御、またはルーティングしません。 BGPハイジャックは、誰かが高速道路のすべての標識を変更し、自動車のトラフィックを誤った出口に再ルーティングするようなものです。

BGP Hijacking Reroute

BGPは相互接続されたネットワークが所有するIPアドレスについて真実を伝えているという前提に基づいて構築されているため、BGPハイジャックを止めることはほぼ不可能です。高速道路標識を見ている人がいない場合を想像してください。そして、それらが悪意を持って変更されたかどうかを知る唯一の方法は、多くの自動車が間違った地域に行き着くのを観察することだけです。ただし、ハイジャックが発生するためには、攻撃者は1つの自律システム(AS)と別の自律システム(AS)をブリッジするBGP対応ルーターを制御または侵害する必要があるため、誰もがBGPハイジャックを実行できません。

BGPとは?

BGPはボーダーゲートウェイプロトコルlの略で、インターネットのルーティングプロトコルです。言い換えれば、トラフィックが可能な限り効率的にIPアドレスから別のIPアドレスに移動するように方向を提供します。 IPアドレスは、特定のWebサイトの実際のWebアドレスです。ユーザーがWebサイト名を入力し、ブラウザーがそれを見つけて読み込むと、リクエストと応答はユーザーのIPアドレスとWebサイトのIPアドレス間を行き来します。 DNS (ドメインネームシステム)サーバーはIPアドレスを提供しますが、BGPはそのIPアドレスに到達する最も効率的な方法を提供します。大まかに言えば、DNSがインターネットのアドレス帳である場合、BGPはインターネットのロードマップです。

それぞれのBGPルーターは、自律システム間の最適なルートを含むルーティングテーブルを保存します。これらは、それぞれのAS *(多くの場合、インターネットサービスプロバイダー(ISP))が所有する新しいIPプレフィックスをブロードキャストするときにほぼ継続的に更新されます。 BGPは、ネットワーク間で可能な限り少ないホップを介してIPアドレスに到達するために、ASからASへの最短かつ最も直接的なパスを常に優先します。

*自律システム(AS)の定義

自律システムは、単一の組織によって管理される大規模なネットワークまたはネットワークのグループです。 ASには多くのサブネットワークがありますが、すべてが同じルーティングポリシーを共有します。通常、ASはISPか、独自のネットワークとそのネットワークからISPへの複数のアップストリーム接続(これは「マルチホームネットワーク」と呼ばれます)を備えた非常に大きな組織です。各ASには、簡単に識別できるように、独自の自律システム番号(ASN)が割り当てられます。

BGPが重要な理由とは?

BGPは、インターネットの大規模な成長を可能にします。インターネットは、相互接続された複数の大規模ネットワークで構成されています。分散化されているため、データパケットが目的のIPアドレスの宛先に移動するための最適なルートを規定する管理機関やトラフィック警官は存在しません。 BGPはこの役割を果たします。 BGPを使用しない場合、Webトラフィックは、非効率的なルーティングのために宛先に到達するのに膨大な時間がかかるか、意図した宛先にまったく到達しません。

BGPはどのようにハイジャックできますか?

ASが実際に制御しないIPプレフィックスへのルートをアナウンスすると、このアナウンスは、フィルタリングされない場合、インターネット全体に拡散し、BGPルーターのルーティングテーブルに追加されます。その後、誰かがルートに気づき、修正するまで、それらのIPへのトラフィックはそのASにルーティングされます。財産行為を確認し、施行する地方政府がない場合に、領土を獲得できるようなものです。

BGPは常に、目的のIPアドレスへの最短で最も具体的なパスを優先します。 BGPハイジャックが成功するためには、ルートアナウンスメントは次のいずれかでなければなりません:

1)他のASが以前に発表したよりも狭い範囲のIPアドレスを発表することにより、より具体的なルートを提供します。

2)IPアドレスの特定のブロックへの短いルートを提供します。さらに、誰もがより大きなインターネットへのBGPルートを発表できるわけではありません。 BGPハイジャックが発生するためには、ASのオペレーター、またはASを侵害した脅威アクターによって発表が行われる必要があります(2番目の事例はよりまれです)。

BGP Hijacking Flow

多くがISPである大規模ネットワークまたはネットワークグループのオペレーターが、そのような悪意のある活動を大胆に引き受けるのは驚くべきことかもしれません。しかし、いくつか数えると、現在世界中で80,000を超える自律システムがあることを考慮すると、一部のシステムが信頼できないものになったとしても驚くことではありません。さらに、BGPハイジャックは必ずしも明白または簡単に検出できるとは限りません。悪役は、他のASの背後で活動をカモフラージュしたり、レーダーの下に留まるために気付かれそうにないIPプレフィックスの未使用ブロックをアナウンスしたりする場合があります。

BGPがハイジャックされるとどうなりますか?

BGPハイジャックの結果として、インターネットトラフィックは間違った方向に進み、監視または傍受されたり、「ブラックホール」化したり、中間者攻撃の一部として偽のWebサイトに誘導されたりする可能性があります。さらに、スパマーは、BGPハイジャック、またはBGPハイジャックを実行するASのネットワークを使用して、スパミング目的で正当なIPをスプーフすることができます。ユーザーの観点から見ると、リクエストと応答は最も効率的なネットワークルートをたどらず、不必要に世界中を移動する可能性があるため、ページ読み込み時間が長くなります。

最良のシナリオでは、トラフィックは不必要に長いルートをたどるだけで、レイテンシーが長くなります。最悪のシナリオでは、攻撃者が中間者攻撃を実行したり、資格情報を盗むためにユーザーを偽のWebサイトにリダイレクトしたりする可能性があります。

現実世界でのBGPハイジャック

意図的なBGPハイジャックの実際の例は数多くあります。たとえば、2018年4月、ロシアのプロバイダーは、実際にRoute53 Amazon DNSサーバーに属する多数のIPプレフィックス(IPアドレスのグループ)を発表しました。要するに、最終結果は、暗号通貨サイトにログインしようとするユーザーが、ハッカーによって制御されているWebサイトの偽のバージョンにリダイレクトされるということでした。したがって、ハッカーは暗号通貨で約152,000ドルを盗むことができました。 (より具体的に言うと:ハッカーは、BGPハイジャックを介してAmazon DNSクエリをハイジャックし、myetherwallet.comのDNSクエリが制御するサーバーに行き、間違ったIPアドレスを返し、HTTPリクエストを偽のWebサイトに送信しました。詳細については、ブログの投稿「BGPリークと暗号通貨」を参照してください。

BGPハイジャックの偶発的なインスタンスも一般的であり、グローバルインターネット全体に悪影響を及ぼす可能性があります。 2008年、パキスタン政府が所有するパキスタンテレコムは、WebサイトのBGPルートを更新することにより、パキスタン内のYoutubeを検閲しようとしました。偶然にも新しいルートがパキスタンテレコムのアップストリームプロバイダーに発表され、そこからインターネット全体に放送されたようです。突然、Youtubeに対するすべてのWebリクエストはパキスタンテレコムに向けられ、ほとんどすべてのインターネットでWebサイトが数時間にわたって停止し、ISPを圧倒しました。

ユーザーとネットワークはどのようにしてBGPハイジャックから身を守ることができますか?

インターネットトラフィックのルーティング方法を常時監視することは別として、ユーザーとネットワークは、BGPハイジャックを防止するためにほとんど何もできません。

IPプレフィックスフィルタリング

ほとんどのネットワークは、必要な場合にのみIPプレフィックス宣言を受け入れ、インターネット全体ではなく特定のネットワークにのみIPプレフィックスを宣言する必要があります。そうすることで、偶発的なルートハイジャックを防ぎ、ASが偽のIPプレフィックス宣言を受け入れないようにすることができます。ただし、実際にはこれを実施するのは困難です。

BGPハイジャック検出

レイテンシーの増加、ネットワークパフォーマンスの低下、およびインターネットトラフィックの誤った方向付けは、すべてBGPハイジャックの兆候です。大規模なネットワークの多くは、BGP更新を監視して、クライアントがレイテンシー問題に直面していないことを確認します。実際、数人のセキュリティ研究者がインターネットトラフィックを監視し、調査結果を公開しています。

BGPをより安全にするには

BGPは、インターネットを機能させるように設計されており、確かに機能します。ただし、BGPはセキュリティを考慮して設計されていません。インターネット全体のより安全なルーティングソリューション(BGPsecなど)が開発されていますが、まだ採用されていません。当分の間、BGPは本質的に脆弱であり、引き続き脆弱です。

CloudflareはどのようにBGPを使用しますか?

Cloudflareには、世界中に194以上のデータセンターがあり、そのすべてが1つのASN(AS13335)と同じIPプレフィックスをブロードキャストしています。これにより、CloudflareがホストするIPアドレスに到達するために通過する必要があるネットワークトラフィックの数が最小限に抑えられます。その結果、Cloudflareが所有するIPアドレスへの効率的なパスを世界中のほぼどこからでも利用できます。日本のASの場合、Cloudflare IPへの最短経路は、わずか数ネットワークホップ離れているだけで、日本に拠点を置くローカルのCloudflareデータセンターに至ります。カリフォルニアでは、トラフィックは同じIPアドレスに送られ、同じCloudflare AS内でホストされ、カリフォルニアのデータセンターを経由して到達する場合があります。

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.