PR

 2007年末にはインターネット利用者数が8811万人に達し,PCから携帯端末までその利用形態は実に様々である。背景には,ブロードバンド契約数が2830万契約に達していることからも分かるように,高速なネットワーク環境を低価格で利用できるようになったことがあるのではないだろうか。そして,専門的なスキルがなくてもインターネットを気軽に利用できるようになったという事実も少なからずあるのではないかと思う。しかしながら,その一方で知識やスキルが少なく,トラブルに巻き込まれるユーザーも相当に多いのではないだろうか。

 この特集では,筆者が法人顧客向けサーバー・アプリケーションを担当するバックヤード・エンジニアとして経験した数多くの事例の中から,ブロードバンド契約数の13.5%を占めると言われるケーブルテレビ・インターネット事業者のネットワークに接続された1台のPCにより引き起こされた事例について,時系列に従い,現場エンジニアとバックヤード・エンジニアが行った1年にわたる対処を紹介する。これを基にネットワークに潜む思わぬ危険性を認識していただき,システム管理者,ネットワーク管理者がどのように対処すればよいかを考えるうえでの参考としていただければ幸いである。

 現場エンジニアから第一報を受けるシーンから始めよう。

 2007年7月中旬,通院のために休暇を取った日だった。もうすぐお昼というころ,診察も終わり,建物を出て喫煙所に向かいながら携帯電話の電源を入れた。7月だというのに本格的な夏を感じる程の陽射しが携帯電話の液晶に乱反射していた。その液晶に新着メール受信中のモーションが表示された。見にくい液晶をよくよく見てみると,それは上司からの1通のメールだった。

 「支店のエンジニアK氏から障害の連絡あり。至急,連携を取って下さい。K氏の携帯電話番号:0x0-xxxx-xxxx」

 障害と言われても困惑することはないが,今日のように休みの日に受け取る障害の連絡は,決まって大事になることが多い。バックヤード・エンジニアが休みであっても連絡が来るのだから,それも当然であろう。

 早速,書かれていたK氏の携帯電話番号に電話を掛けた。

 「製品担当の関口です。障害の連絡を聞きまして……」

 「ああ,どうもすみません。実は昨晩,ケーブルテレビ事業者のA社のネットワークが高負荷でダウンしまして,1時間ぐらいにわたり数万ユーザーへのサービスが停止したんです。今は復旧していますが,いつ再発するか分からない状況なんです。詳細はメールで送ってあります」

 「現状は分かりました。詳細な内容を把握し,おって連絡します」

 そこまで聞いて,電話では対応が難しいと感じた私は,詳細な状況を把握すべく会社へと向かった。会社へと到着し,K氏からのメールを見てみると,そこには少々厄介な内容が書かれていた。

 「加入者宅のケーブルモデムやPCにIPアドレスを配布しているDHCPサーバーに,“ff:ff:ff:ff:c2:89”というMACアドレスを持つ端末からDHCP Discoverメッセージが届き,その端末にIPアドレスをリースしています。その後,そのIPアドレス宛に海外からDoS攻撃が行われ,マルチキャスト・フレームが急増してネットワークがダウンしたようです。」

 私はメールを読んだのち,すぐさまK氏に「応急処置のため,“ff:ff:ff:ff:c2:89”というMACアドレスを持つ端末からのDHCP Discoverメッセージを拒否する設定を行って下さい」と依頼のメールを送った。

 その一方で,すべてのマルチキャストMACアドレスからのDHCP Discoverメッセージを拒否するスクリプトを作成し始めた。

ケーブルテレビ・インターネットの構成

 ここで,本特集の舞台となるケーブルテレビ事業者では,加入者にどのようにしてインターネット環境を提供しているかを簡単に解説したい。

 図1に示すように,ケーブルテレビ・インターネットはケーブルテレビ局(ヘッドエンド)側においてインターネットとの境界となる装置(CMTS:Cable Modem Termination System)と,ユーザー側においてパソコンと接続されるケーブルモデムで構成される。

図1●ケーブルテレビ・インターネットの構成
図1●ケーブルテレビ・インターネットの構成

 伝送路はケーブルテレビ網を使用し,放送信号とデータが混合された状態で伝送されている。CMTSとケーブルモデム間はブロードバンド伝送となる。ケーブルモデムとパソコン間の接続はEthernet接続が主流である。また,一般的なCMTSは1台で数千台のケーブルモデムを収容可能である。

原因はMACアドレスの異常な値

 今回の障害では,加入者宅のパソコンとネットワークをつなぐネットワーク・インタフェース・カード(NIC)のハードウエア固有の物理アドレスであるMACアドレスが異常な値を取っていた。そのことから端を発し,様々な事象が重なり,最終的にCMTSの停止へと至り,ケーブルテレビ事業者の加入者すべてがインターネットへ接続できない事態になってしまった。

 次回は,このMACアドレスの異常が具体的にどのようなことを引き起こすかを詳しく解説していきたい。

関口博幸
ネットワンシステムズ 商品開発グループ 応用技術本部 第4応用技術部 セキュリティ第2チーム
2005年,ネットワンシステムズ入社。主として,アンチウイルス,検疫ネットワークなどのクライアント・セキュリティ製品やサーバ・アプリケーション製品に関し,評価・検証・導入支援・障害対応支援を担当。第二種情報処理技術者,ソフトウェア開発技術者。