BGPハイジャックはポリシー違反になるか?(ARIN PPMLの議論より)
ip_team IPアドレス日本に新元号「令和」が到来し、長期休暇を謳歌された方も多かったであろう5月初旬、北米地域を管轄する地域インターネットレジストリ(RIR; Regional Internet Registry)のARIN (American Registry for Internet Numbers)では一つのポリシー提案が話題となりました。“prop-266 BGP Hijacking is an ARIN Policy Violation”とタイトルがつけられた提案です。自身がIPアドレスの割り振り/割り当てを受けていないにもかかわらず、該当のIPアドレスに関する経路情報をインターネットに広告することは、BGPハイジャックと呼ばれています。このBGPハイジャックは、IPアドレスの分配ルール(ポリシー)に違反する行為であると明確に定義することが主な内容です。
ヨーロッパ地域を管轄するRIRであるRIPE NCC (Reseaux IP Europeens Network Coordination Centre)では、同じ内容を”2019-03:BGP Hijacking is a RIPE Policy Violation“という提案として、3月中旬から既に議論が行われていましたが、ARINに議論が飛び火した形になっています。RIPE NCCでの議論については、「RIPE78でのIPアドレス・AS番号分配ポリシーに関する提案ご紹介」としてJPNIC BLOGでもご紹介していますので、こちらもあわせてご覧ください。
今回は、ARINに出された提案に対して、ARINコミュニティではどのような議論が行われたのでしょうか。ARINでの経緯を追いつつ、ARINのアドレスポリシーを議論するメーリングリストである、PPML(Public Policy Mailing List)に寄せられた意見・論点を紹介していきたいと思います。
BGPハイジャックでインターネットが正しく機能しない場合、あなたはどうしますか?
提案概要
Prop-266はタイトルの通り、BGPハイジャックをARINのポリシーに違反するものとして認定する制度を作ろうという提案です。ARINは自身で監視を行うのではなく、通報制度(ウェブフォーム)を設置し、被害者や観測する第三者からの通報を受け入れます。通報後は専門家チームを結成し、提供される情報から評価を下し、発生した行為がBGPハイジャックであり、ポリシー違反であるか否かを判断するというものです。提案は違反の認定行為まででそれに対する罰則規定はありません。
経緯
この提案は、4/10に開催されたARIN 諮問委員会(AC; Advisory Council)で確認作業が行われました。その結果、BGPハイジャックは各ルーター間で行われるルーティングの問題であり、番号資源を管理することを目的とするRIRの管轄からは外れるとして、”out of scope”(範囲外)として提案を以降のステップへ進めることを却下されました。4/26にこの議事録が公表されると、提案者はこの決定に異議を唱えました。ポリシー文書の策定、改定プロセスを定めたPDP(Policy Development Process)の第3部1.2項において、諮問委員会で却下された提案について、議事録公表から5日以内に属性の異なる10人以上の支持者を集めることがPPML上で確認できた場合には、決定を取り消し、次のステップへと進めることを可能とすると記しています。提案者が支持者を募集したところ、賛成・反対意見どちらも多くの意見が飛び出す状況となりました。結果的には10名の賛同は集められず、提案のステータスが変更されることはありませんでしたが、期限後も多くの意見が寄せられました。議論の論点としては以下が挙げられました。
1.RIRの権限について
ARINは北米地域を管轄する地域インターネットレジストリです。番号資源の一意性を維持するためにインターネットコミュニティによって形成された非営利組織であり、その上位に国家機関が存在したり、法的拘束力を持つ命令を発令する権限が付与されることはありません。今回の提案は具体的罰則規定までは設けられていないものの、インターネット空間における警察行為や法的判断を下す行為を行おうとするような事態が考えられます。番号資源の管理を任される団体にどこまで権能を与えていいのかという点で意見が分かれました。賛成派はBGPハイジャックの危険性を主張し、その抑制に務める主動者としてRIRに期待をかける声を挙げました。一方の反対派の主張としては、権能を与えすぎるとインターネットの支配構造化や国家権力の干渉の可能性を説きました。BGPハイジャックは重大な問題であるとの認識は共有しつつも、RIRはRPKIやMANRS等技術方面からのアプローチで問題解決に貢献していくべきであり、諮問委員会の判断同様に、ルーティングは各ルータ間の通信であり、RIRの管轄ではないとしました。
2.管轄域外からのハイジャックについて
ARINのポリシーはその域内でのみ適用されますが、BGPハイジャックは域外からも可能であり、多くの事例が発生すると予測されます。その対策として提案者は同様の提案をARIN,RIPE NCCおよびLACNIC(The Latin American and Caribbean IP address Regional Registry)で提案していました。APNIC(Asia Pacific Network Information Centre)およびAFRINIC(African Network Information Centre)でも追って提案し、世界全域をカバーできるようにすると述べました。しかし、RIRのポリシーは各地域でPDP、内容、表現方法等それぞれの地域特性にあった手法が採られており、必ずしも当該地域にとって理想的なポリシーが採用されるかというとわかりません。また、もしも同ポリシーが採用されていない地域からBGPハイジャックを受けた場合には、機能を果たさない可能性が高いと見られています。提案者は非採用地域からそのような事態が発生した場合には、多くの非難の声が挙がり、導入の方向に走るだろうと述べていますが、他地域でも意見が割れている議論なだけに、全域導入の見込みは甘すぎると考えられています。
3.BGPハイジャックの認定方法について
対応プロセスとして、専門家チームによる評価決定がありますが、この専門家チームの選出方法について詳細な規定がないため、どのようにするつもりなのかと質問が集中しました。RIRスタッフが選出することが想定されましたが、その業務負担過多や責任能力(選定者としての責任)を疑問視されました。また、被選出者も事例によって大きく異なる状況となるBGPハイジャックを誰が真に適切に判断できるのかというところで懐疑的な意見が多く飛び出しました。
4.歴史的経緯を持つIPアドレスの割り当て先組織について
ARIN設立以前にISP等を経由せずにIPアドレスの分配を受けた組織は、ARINとの間でRSA(Registration Services Agreement)を締結することで、ARINからのサービスを受けることができます。しかし、サービス料の支払を避けるなどの事情で、全ての組織がRSAを締結しているわけではありません。 そのため、ARIN地域に所在しながらも、RSA を締結していない組織にはこのポリシーを適用できないことになります。割り当てアドレスサイズの大きな組織も数多くいるだけに、このような組織に対しての取り扱いに不安視する声が聞こえました。対処法として、インターネットエクスチェンジポイント(IXP)に協力を仰ぎ、通信を停止させたり、通過するASに対してBGPハイジャックの発生を通知し、経路広告を 継続する場合にはそのASの名前を掲載・告知することが提案されていましたが、RIRの業務なのかという点で疑念が残りました。
以上4点が本提案で議論された主な論点でしたが、反対派の意見が多く、問題の重大性は認めつつも、否定的なコメントでどの議論も収束していきました。より詳細な意見を知りたい場合にはPPMLのアーカイブを追ってみると各人の考え方がわかるかもしれません。
また、ARINでこそ否定的な形で幕引きしましたが、提案者は他のRIRで導入し、それを足掛かりに全世界へ広げていこうと考えています。APNICでも今後提案がある可能性が高いトピックですので、アジア太平洋地域のメンバーとしてどういう方針で対処していくのがベストなのかを考える必要があると思います。APNICのPolicy SIGメーリングリストやJapan Open Policy Forum (JPOPF)の場を通して、皆様からのご意見をお寄せいただけるのをお待ちしています。
nkgw@