10/31・11/1の両日、東京大学弥生講堂においてInternet Conference 2002(IC2002)が財団法人インターネット協会・日本UNIXユーザ会など5団体の主催で行われた。同イベントでは毎年Internetのインフラ技術に関わるさまざまな技術発表が行われているが、初日は主にセキュリティ方面に関する技術発表が行われたので、その模様をレポートしていきたい。

○SYN flood攻撃などへの耐性向上を狙う「SPP」

まずご紹介するのは、和歌山大学の伊藤大輔氏らのグループが発表した「SPP(SYN Packet Pacifier)」。これはInternetにおいてよく見られるDoS攻撃、特にSYN flood攻撃などへの耐性向上を目指したフィルタ技術である。

発表に立った伊藤氏は、まず和歌山大学のゲートウェイに設置されているファイアウォールを通過するパケットのうち約2割がDoS攻撃、またはそれに類する不正パケットであるという事実を示し、今や大企業だけでなくInternetにつながっているホストが全てDoS攻撃の対象となりつつある現状を警告した。

和歌山大学のFirewallにおけるパケットの割合

SPPの概要

このような現状に対し、SPPではIP層でのフィルタリングを行うことによりネットワーク機器への応用を容易にしたほか、ステートレスなフィルタリングを行うため「キャッシュがあふれることによる接続不能」といった問題を回避することに成功したという。この際にキャッシュを使わないでどのように正当なACKと不当なACKを区別するのかが問題になるが、SPPではSYN/ACKを返す際に「クライアントのIPアドレス」「双方のポート番号」などからハッシュ関数を利用してInitial Sequence Number(ISN)を生成しヘッダに埋め込む。そしてACK受信時にACKのヘッダに記録されたSequence NumberとSYN/ACKを返すときと同じ手順で生成したSequence Numberとを比較し、双方が一致したら初めて通信を許可する、という手順を踏むことで、キャッシュを使わずにパケットの正当性を検査することが可能になっている。

現在LinuxではSYNCookies、FreeBSDなどのBSD系OSではSYNCacheといった対SYN flood攻撃用のフィルタが一般に普及しつつあるが、SPPと比べると共にTCP層で動作するフィルタのためネットワーク機器への応用が難しいほか、SYNCookiesはSPPと同様の機構を実装しているものの「シーケンス番号の範囲が狭く成りすましを受けやすい」「重い」など、SYNCacheは「キャッシュがあふれるほどの強力なDoS攻撃を受けた場合にコネクションが確立できない」などの問題があると指摘し、SPPが性能面などで有利だと主張した。

DoS攻撃下におけるSSHログインの成功率を比較したグラフ

もちろんSPPでも偶然Sequence Numberが一致すれば成りすましによるアクセスが可能なことには代わりがないが、SPPでは正当なACKを受け付けた後さらに上位層のプロトコルレベルで正当性を検査する機構を追加することが可能なので、もしさらに防御を固める必要があればそれを活用してほしい、と伊藤氏は述べた。

ちなみにFreeBSD上でSYNCookies + SYNCacheを搭載したシステムとSPPとの性能を比較した際、前者が毎秒30,000パケット程度で通信不能になったのに対し、SPPは毎秒60,000パケットを受信している状態でも50%程度の確率でSSHログインが成功するということで、SPPが性能面で有利であるという主張が裏付けられる結果となった。SPPはSYNパケットに対して「ポートの使用の有無に関わらずとりあえずSYN/ACKを返す」というロジックを取っていることから、ポートスキャンに対しても「実際に使われているポートを特定できない」という利点があるため、実際にサーバを運用する立場の人間としてもかなり食指の動く技術であるといえる。

○認証手段の多様化を狙う技術?

高次の認証をどのように行えばよいかを示したモデル図

続いてご紹介するのは、ソニーCSLの研究グループが発表した「ユーザインタフェースを活用したセキュリティモデル」と題する講演。こちらは先ほどのSPPのような実践的な話とは打って変わって、ユーザ認証モデルの将来像を提案するモデルの話なのだが、ある意味これまで盲点とされていた部分を活用するようなモデルで非常に興味深いものだった。

発表内容は大きく2つに分けることができるが、まずひとつは「既に電子的な手段以外で認証が済んでいる人間に対して簡単にアクセス権を与える」技術。例えば現在IP電話で会話中の人間同士の場合、相手の声を聞くことでそれが相手かどうかを確かめることができるが、その相手に何かデータを見せようとすると、現状ではE-Mailなど別の手段でデータを送り認証させるという手順を踏まなくてはならないのが普通だ。それに対して今回の研究では「既に音声による認証が済んで、データを送れるセッションも存在しているのだからそれを使わない手はない」ということで、IP電話のセッションデータの中に「アクセスチケット」と呼ばれるデータを混ぜて送ることで相手にそのデータへのアクセス権を与える、という方式が提案された。

端末をかざす(向ける)ことで認証を行う例

アクセスチケットのデモシナリオ図

相手に直接該当データを送ることも技術的には可能なのだが、「アクセスチケット」を採用した理由は3つ。それは「帯域が節約できる」「チケットの転送することでアクセス権の譲渡が容易」「一時的なアクセス権を設定できる」というものだ。講演中には自分の携帯端末宛に受け取った、相手のPowerPointファイルへのアクセスチケットを最寄のプロジェクタに転送し、そちらでデータをダウンロードして表示させるというデモビデオを流し、この形態の優位性を強調していた。

もうひとつは「新しい認証技術」の方で、こちらは一言で言ってしまうと「アクセス権を持つ人間がそこに存在するという証明(仮に「高次の認証」と呼ぶ)が簡単にできるならば、認証のたびに毎回それを証明させればよい」というもの。今回の講演ではひとつの例として「携帯端末を接続したい機器にかざす、または機器のある方に端末を向ける」ことで端末を認証しアクセスを認めるという方式を紹介し、端末を機器に近づけるという行為が「端末を持つ人間がそこにいる」ことの証明になり、ひいては認証として使えるのではないかという提案を行った。

もちろん最初の例の場合は「声が似た人を間違って本人と認証してしまう」可能性、後者の例では「端末を持っている人間が必ずしも本人とは限らない」可能性があり、この方式を本格的に利用するとなると「バイオメトリクス認証などを組み合わせないとだめだろう」(ソニーCSL・河野氏)という問題点はあるのだが、ユーザ認証の可能性を広げるという意味ではなかなか面白い発表ではないかと感じさせた。

(佐藤晃洋)

Internet Conference
http://www.internetconference.org/