2013年6月24日月曜日

MAN構築のすすめ(25:スノーデン氏が暴露した光ファイバーの盗聴とNSAの動向)

今日は2013年6月24日。
昨今、WIREDのサイトで気になる記事がみつかったので紹介します。


「英情報機関、NSAと協力して光ケーブル網の通信傍受」
http://wired.jp/2013/06/24/new-leaks-british-intels-direct-from-fiber-taps-worse-than-the-us/


この記事によれば、GCHQおよびNSAは光ファイバーを盗聴してトラフィック上のデータを収集し、30日分のセッションの内容を参照できるようにしていたと。
あまりネットワークに明るくない人にはどうやってこれを行なっているかは興味はないかもしれませんが、もともとTCP/IPのネットワークのトラブルシューティングする目的でトラフィックのスナップショットをとってTCP/IPのセッションで何が起こっているかを参照するためのツールは多数存在します。

大手企業が使用する製品で有名なのはSnifferで、大企業ではDistributed Snifferという製品を導入し、ネットワーク全体のトラブルシューティングを行うことも珍しくありません。ただ一般企業での問題はそのデータ量です。いくら昨今のHDDが大容量化、低価格化したと言ってもすべてのトラフィックを追いかけるのは事実上不可能です。(すぐにストレージのHDDがいっぱいになってしまう)

通常はエンドユーザーからクレームが届いた内容(例えばどのサーバーとどのデスクトップクライアントのセッションがよく切れるとか、途中でコケるとか)そういう内容に基づいて、サーバー側のスイッチとクライアント側のユーザースイッチのトラフィックをスニファーで吸い上げて何が原因か分析するのが一般的です。

ごちゃごちゃ書いてしまいましたが、このWIREDの記事が正しければ、NSAはネット上を流れるトラフィックを幹線のファイバー(おそらく大手プロバイダーが扱うASのバスが通る基幹の部分だけと思われますが)にSPANをかけて盗んでいたものと思われます。

SPANとはシスコ用語かもしれませんが同じ内容のトラフィックをスイッチに分岐ポート(スパンポート)を設定し、トラブルシューティングしたいVLANのトラフィックを抜き出すのが一般的です。(通常はどのVLANを抜き取るか設定する)
それ以外の用途ではIP電話の音声録音でしょうか。TCP・IPのRTPストリームを抜き出して録音機のHDDに保存する製品も多数存在します。

昨今はEMCのような巨大なストレージ、グリッド上に配置したサーバのストレージをあたかもひとつの大きなHDDにみたてて仮想ストレージ化する技術は充分成熟していますから、この技術を応用し、NSA側で抜き取ったデータを保存し、分析していたものと思われます。

いやーアメリカ政府というのはとんでもないことをやるものですね。日本とはスケールが違います。

以前、一連のこのブログでファイバーは盗聴されないということを自身述べていましたが、これをみて訂正の必要があるかもしれません。
スニファーはインターフェイスがUTPやSTPのネットワークケーブルだろうが光ケーブルだろうが関係ありませんよね。
とにかく受信、あるいは送信したL2のトラフィックをスパン(コピー)できるスイッチが間に挟まっていればデータを抜き取ることは簡単です。

では、肝心のダークファイバを使ったネットワーク接続ではこれは可能でしょうか?
技術的に不可能ではないかもしれませんが限りなく無理だと筆者は信じます。
理由は以下のとおりです。

1)もしダークファイバの拠点間のどこかで盗聴したければ、接続を中間点の何処かで分断し、そこに盗聴器器を挟み込む必要がある。
2)当然、回線が切れてその復旧に時間がかかれば提供者は疑われる。
3)仮にうまく盗聴器器を挟み込んだとしても、事前に対抗先のスイッチとの距離などを把握していないとうまく盗聴用のスイッチを挟み込むことはできない。
4)拠点内のMANスイッチにSPANを設定するのは、その物理的制約からほぼ不可能(内部の人間が協力していれば話は別ですが)
5)仮に中間点に盗聴スイッチを挟み込んだとして、あたかもなにもなかったように拠点A-B間の接続を継続させるためには盗聴器に電送距離を考慮した適切なスペックの光ファイバーモジュールが搭載されていないと、盗聴用のスイッチがあたかも存在しないように間に挟み込まれるのは至難の業。

長距離電送を行なっている場合、いわゆる中継アンプを第三者のサイトに設置している場合がありますが、狙えるとしたらそこ位ですが、通常は厳重なセキュリティーでデータセンターと同等のアクセス制限があるでしょうから、これも簡単ではありませんね。

インターネットは一般公開が始まった時からパブリックのものなのでだれかがスニファーを使って情報を盗み見る危険性は始まった当初からわかっていたことですが、これだけ大掛かりにやるとなるとNSA規模の組織とお金が無いとできないことでしょう。


自身の結論として企業や個別の組織が借り上げて使用するダークファイバーから情報を抜き取るのは至難の技といえるでしょう。
もっとも、光ファイバーケーブルをあたかもオーディオケーブルを分岐するように分岐してトラフィックをながす技術が存在すればそれは現実的な脅威となるかもしれませんが。

もし、あなたの会社ですでにダークファイバーを借り上げて社内のネットワーク運用に使用していたとして、NSAがやっているような盗聴はほぼ不可能だといえるでしょう。
盗んだ方は巨大なストレージがないと盗んでも内容を分析できません。

かえって心配なのはインターネットにトラフィックを流すVPNですね。
NSAのことだからVPNのクリプトグラムの素数など、我々一般人が知り得ない鍵情報はすべてもっていると考えるのが妥当でしょう。
VPNやSSH、SSLなど、通常は暗号化されて覗き見できないトラフィックも鍵が存在すればクリアテキスト見てるのと同じです。
余談ですがアメリカの有名な会社、ベリサインなどは自社で使用する素数(通常は推測困難)が会社の金庫に保存されていると言われています。
つまり彼らは暗号鍵に使用する素数が解析される、あるいは公開されるといまのセキュアなネットワーク上のやり取り(例えばクレジットカードを使用したネットショッピングなど)が崩壊することを知っています。
NSAはもう、そこまで解析できる技術を持っている。(あるいは政府のために暗号鍵をこういった企業がアメリカ政府に協力しすでに提供していると考えるのが妥当と筆者は考えます。

VPNやMPLSをつかった企業のネットワーク上のやり取りが安全でないと言われる時期が近い将来訪れるかもしれませんね。


怖い世の中になったものです。