RPKI(Resource Public-Key Infrastructure)のROV(Route Origin Validation)結果によりInvalid(不正)と判定された経路について、破棄する対応を2020年12月末より順次開始させていただきます。
当団体ではJPNICのRPKIシステムが稼働を始めた2017年よりRPKIを導入しROA(Route Origination Authorization)の作成を行うと共に、不正経路に対してはLocalPrefを下げる対応を行ってきました。一方で一部の宛先への通信断が発生する可能性があることから、経路の破棄は見合わせておりました。しかし、GIN(AS2914)やIIJ(AS2497)などの大手ISP、Amazon(AS16509)などの大手ホスティング事業者が不正経路の破棄を開始していること、不正経路の動向の調査の結果、当団体の通信への影響は少ないと判断し経路の破棄を行うことにいたしました。
- IIJ(AS2497): https://eng-blog.iij.ad.jp/archives/6861
- GIN(AS2914): https://www.gin.ntt.net/support-center/policies-procedures/routing-registry/
不正経路の状況と影響
NIST(National Institute of Standards and Technology)の調査結果によると、2020年12月現在、IPv4フルルートの内、約4300経路が不正経路となっております。もちろんこの約4300経路が全て悪意のある経路ハイジャックである可能性は低く、経路の広報や単にROAの設定ミスと思われるケースの方が多いですが、全ての経路の確認と個別対応を行うことは運用上現実的ではないので、一律破棄という対応をすることになります。
- https://rpki-monitor.antd.nist.gov/
実際に当団体のルータが保持するフルルートでは、2020年12月20日現在、IPv4で約2000、IPv6で約340の不正経路が確認できております。経路長の分布は以下の通りとなり、大半が/24や/48の経路となっています。/24と/48は一般的にインターネットで広報されるIPアドレスの最小サイズであり、割り振り数が多いことや、パンチングホール的な広報でも利用されることが多いことが、観測数に影響しているものと推測します。
なお、上記の中で日本国内の経路(JPNICが管理するIPアドレス一覧 https://www.nic.ad.jp/ja/ip/list.html に掲載されているものを日本国内経路と定義します)は6経路でした。日本のオペレータの皆様は正確で丁寧な運用をされていることを実感すると共に、国内の通信も多い当団体には影響は軽微であると考えられます。
破棄する経路
当団体がトランジットを提供するユーザ様を含む、接続する全てのグローバルASから受け取る経路が対象となります。収容ルータにおいてROVを行い、不正判定された経路を破棄します。
特にグローバルASをお持ちで当団体がトランジットを提供しているユーザ様は、自組織の経路が不正とならないよう、ROAの登録内容を改めてご確認頂けますようお願いいたします。
通信できない時は(当団体のPAアドレス利用者向け)
万一、通信しようとする宛先にIP的に到達できないことがあった場合、RIPEStat (https://stat.ripe.net/) などで該当のPrefixが不正経路となっていないかを確認してみてください。当団体にご連絡いただければ、相手先のASに連絡はいたしますが、修正されるかどうかは相手次第となり確約できないと共に、不正経路となっている状態で個別に経路を許可することはできませんことをお伝えしておきます。Tracerouteをした場合は当団体のルータに入った段階で破棄される動作となります。
終わりに
当団体では商用ASではく新たなチャレンジが許容されやすいという利点を生かし、より安心安全なインターネットを目指して、新技術の導入や検証にインターネットコミュニティと共に今後も積極的に取り組んで参ります。