IPv6のセキュリティ神話を暴く

ここ一年くらいで、IPv6がオフィスや家庭で使えるようになってきた。例えば、
Niftyでは既に2003年3月からIPv6試験サービスを開始しているし、最大手のISPで あるYahoo!BBも限定的とはいえ
サービスの開始をアナウンスした。

IPv6はIPv4に比較して安全だという話をよく聞く。一方では、逆に危険であると
いう人もいる。はたしてどちらが真実なのか。それとも、これらは単なる神話に 過ぎないのだろうか。

神話1: 通信が暗号化されるので安全

IPv6が安全だという話の根拠として言われるのは、端末間の通信を暗号化したり、
端末の認証も可能になるIPSecの存在がある。IPv6には、このIPSecという仕組み がデフォルトで組み込まれている。

ではIPv4ではどうか?詳しい方はご存知の通り、IPv4でもIPSecは使える。そも
そもIPSecはIPv6に組み込むために開発されたものとはいえ、IPv4にも移植され
ているのだ。例えばMicrosoftのWindows XP には最初から組み込まれているなど、
いつでも使える状況にある。また、IPSec以外にも暗号化や認証の方法はいくら でもある。

さらに、端末間で暗号化通信をされてしまうと、どのようなデータがやり取りさ
れているかネットワーク管理者にも判らなくなる。個人情報漏洩問題などもあり、
企業などのネットワーク管理者は通信経路の暗号化にはセンシティブになってい る。

  • 結論: IPv4もIPv6も通信の暗号化はできるので大差無い

神話2: NATが使えなくなるので危険

NATというのは、Network Address Translationの略で、少ないグローバルIPアド
レスを沢山の端末で使いまわすための仕組みだ。一般家庭では、ISPからは普通
は一つのグローバルIPアドレスしかもらえないし、企業でも全端末分のグローバ
ルIPアドレスを持っている場合は少ないだろう。このため、例えば家庭内で複数
台を使いたい場合は、ブロードバンドルータがNATにより家庭内のアドレス(プラ
イベートアドレスと呼ぶ)をグローバルアドレスに変換する。

これがセキュリティとどう関係するのかといえば、外部(インターネット)から、
内部(プライベートアドレスの振られた家庭やオフィス)のネットワークが見えな
いため、不正アクセスが難しくなり、ネットワークを守るのが簡単になる。

しかし、「NATが使えなくなるので危険」というのは、幾つかの面で間違ってい
る。そもそもNATはセキュリティのための機構ではないし、さらにIPv6だと
NAT(もしくはアドレス変換技術)が使えなくなるというわけでもない。IPv6はア
ドレス空間(使えるグローバルアドレスの数)が殆ど無限に近いほど広がるため、
NATが不要というだけなのだ。実際、内部のネットワークが外部から攻撃されに くいように、アドレスを頻繁に変更する仕組みも考えられており、これを利用すればNAT
で実現されていたセキュリティレベルは達成できる。

  • 結論: NATがないから危険なわけではない

神話3: ウイルスやワームはIPv6対応ではないので、安全

これまでIPv6を対象とするウイルスやワームは殆ど見つかっていない。これをも って安全とする意見もある。

しかし、IPv6が普及すれば、当然ウイルスやワームもIPv6対応するだろう。そも
そもアプリケーションを攻撃するウイルスなどはIPv6かどうかは全く関係無い場
合もあり、本質的な違いはない。また、倉敷芸科大の小林教授と我々の共同研究
で、既知の攻撃コードはきわめて容易にIPv6化が可能であることを実証(※)した。
実際、攻撃コードのIPv6化にはソースコードを十行程度書き換えるだけで十分な のだ。

※ 村瀬一郎*, 村野正泰*, 牧野京子*,
三宅喬**, 小林和真**, “IPv6 ネットワークにおけるセキュリティの一検討”, SCIS2005
*: 株式会社三菱総合研究所, **: 倉敷芸術科学大学

  • 結論: IPv6時代になってもウイルスやワームは存在する

IPv6セキュリティは万全か

このように、原理的にはIPv4もIPv6も安全性という面では大差はない、という結
論になる。ただし、全く何の心配もしなくて良いかといえばそうではない。IPv6
ネットワークの管理は、IPv4時代に較べてノウハウの蓄積が少なく、管理者は十
分に注意する必要があるだろう。もっと大きな問題は、現在はIPv6対応のウイル
ス対策ソフトやIDS等のセキュリティ製品が殆ど存在しないし、また仮に対応し
ているとベンダが言っていても、十分に検証が行われていない場合が多い事だ。
IPv6を導入しようとする管理者は、自分の使いたいセキュリティ製品のIPv6対応 について事前に確認することをお勧めする。