(RIPE Labs)ロシアにおけるインターネット網の遮断について

Categories
< Back
You are here:
Print

(RIPE Labs)ロシアにおけるインターネット網の遮断について

Stéphane Bortzmeyer – 2022年3月9日

ロシアのインターネット・ネットワークが何らかの形で遮断されることを求める声や、ロシアがそのような遮断を行うという発表が何度かあった。この記事では、Stéphane Bortzmeyerがこの問題を技術的な観点から探っている。


プーチンによるウクライナ侵攻後、ロシアのインターネット・ネットワークが何らかの形で遮断されることを求める声や、ロシアがそのような遮断を行うという発表が何度かあった。本稿では、もっぱら技術的な観点からこの問題を探求する(ただし、インターネットガバナンスにも若干踏み込んでいる)。ソーシャルネットワークのようなサービスは抜きにして、インターネットのインフラについてのみ語る。

まず、2つの警告がなされている。私はこの戦争(99.9%はロシアの責任)を前にして、中立ではいられない。侵略者と被侵略者を対等な立場に置こうとする(例えば、被侵略者が自衛できるように武器を届けることを拒否する)ことは中立ではなく、侵略者を支持することになる。したがって、ウクライナを支援することが重要である(人道的援助だけでなく、ウクライナの対処を直接支援することも重要である)。第二に、この記事は可能性のあるシャットダウンの技術的側面を探るものであり、それが良いアイデアだと思うという意味ではない(私の意見をすぐに言おう:いや、それは良いアイデアではないだろう)。

しかし、3つ目の警告がある。ロシアのインターネットについてソーシャルネットワークで書かれていることの多くは間違っている(例えば、独自に一度も確認されていない切断テストというロシアのプロパガンダを繰り返す場合など)。だから、注意が必要だ。

もしあなたがインターネットガバナンスに詳しくないのであれば、この記事を通して、インターネットには責任者も大統領も存在しないことを覚えておいてほしい(ある記事で「ICANN、インターネットの規制機関」といったフレーズに出くわしたら、すぐに読むのをやめても構わない–それは著者が自分の対象を知らないという証明になる)。各主体は、(その国の法律と政治の範囲内で)独自の意思決定の自律性を持っている。例えば、ロシアとのすべての通信を効果的に遮断する技術的、政治的権限を、たとえ望んだとしても、誰も持っていない。

まずはドメイン名から。例えば、ウクライナ政府がロシアのTLDである.ru、.su、.рфをDNSルートから削除するよう求めているのを目にしたことがある。これは可能なの だろうか。

技術的な可能性と政治的な可能性を区別する必要がある。技術的には、ほとんど困難はない。ルートのマスターコピーは、米国政府の委託先であるベリサインが運営している(ICANNの役割もあるが、技術的にはICANNはルートゾーンファイルを管理しない)。.yuで行われたように、このゾーンからTLDを削除することは技術的に簡単なことだ。これは、必ずしも.ruなどが機能しなくなることを意味するわけではない。DNSリゾルバの管理者は、.ru以下の名前に対する要求を権威サーバに直接転送するように、常にソフトウェアを設定することができる。ロシアでは、主権上の理由から、多くのリゾルバがすでにこのように設定されていると思われる。もし、.ruがルートから削除されたら、ほかのものも同じようにするだろう。つまり、.ruがある場所では機能するが、他の場所では機能しないという複雑な状況になり、インターネットの「カオス化」(すでにかなり進んでいる)が悪化することになる。

ICANNと米国政府がこれを決定した場合(米国で多くの要求があったにもかかわらず、.irさえ削除されたことがないことを思い出してほしい)、DNSのユニークルート(RFC 2826)が直ちに終了することを意味する。ロシアは、おそらく口実をつけて喜ぶ中国や、これまで比較的合理的だったため米国のルート管理を受け入れていた他の国とともに、別のルートを設定するだろう。(ところで、メディアで報道されるインターネットに関する情報のほとんどは誤りであることを忘れてはならない。したがって、2022年2月24日以前に、ロシアや中国が、代替ルートを使っていたと主張するのは正確ではない。議論が行われ、プロジェクトが立ち上げられたが、具体的なものは何も実施されなかった)。予想通り、ICANNは行動を起こすことを拒否した。

ルートからこれらのTLDの削除を要求するのではなく、別の解決策は、これらの名前の解決を拒否するようにリゾルバを設定することだろう。これらの嘘のDNSリゾルバは、例えばSci-Hubの検閲のためにヨーロッパで広く使用 されている。また、インターネットの断片化にも寄与している。ルート上のアクションとは異なり、リゾルバの設定は非常に分散化されており、各リゾルバ・マネージャは自分のイニシアチブで.ruをブロックすることができる。フランスでは、この拒否は例えばチャンネルRTを直撃した。

しかし、DNSよりも重要なことがある。筋金入りのネットワーク技術者は、インターネットはIPであり、DNSはアプリケーションに過ぎず、なくてもやっていけるとさえ言うだろう。私はこの見解にはあまり賛成ではないが(DNSがなければ何もできない)、それでもIP接続に注目する価値はある。RIPEのディスカッションリストでは、ロシアのIPアドレスをブロックする、あるいはRIPE NCCがロシアから(あるいは単にロシア政府から)IPプレフィックスやAutonomous System Numbersの割り当てを撤回することを求める声が多く出ている。(RIPE NCCのウェブサイトに掲載されている、ロシアの組織に割り当てられたIPアドレスのプレフィックスの例)。

DNSと同様、まず「中央」レベルで何が行われているかを見てから、非中央集権的なアクターの判断を見ることにしよう。RIPE NCCはヨーロッパの地域インターネットレジストリ(RIR)で、その責任範囲にはロシア(イランも含む)が含まれる。ICANNのように特別な国際的地位はなく、オランダ法に基づく組織であるため、その国の法律に従わなければならない。例えば、欧州連合が決定した制裁措置がそうである。技術的には、RIPE NCCは確かにデータベースを修正してロシアのリソース割り当てを削除することができる(今のところ、これは計画されていない)。

しかし、DNS と同様、この削除は必ずしもケーブルでの具体的な効果に結びつかない。各事業者は、どのプレフィックスをルーティングし、どのプレフィックスをブロックするかを決定し、ルーティングをコントロールすることに変わりはない。多くの事業者が、RIRデータベース(いわゆるIRR)に基づき、ルーティングアナウンスメント(通常はBGPプロトコルで受信)を自動的にフィルタリングしていることは事実である。ロシアのリソースが割り当て解除された場合、これらのオペレータはロシアから切り離されることになる。このため、Roskomnadzorはロシアの事業者(英訳)に対して、RIPE NCCのIRRを使用しないように要請している。しかし、他の事業者はIRRを盲目的に適用することはなく、特に地政学的な決定を実行するためにあまりにも明確に使用された場合は、IRRを適用する。したがって、ルーティングが切断されることは全くなく、破壊されるだけである(インターネットの「カオス化」のもう一つのケース)。

割り当てを解除されたIPアドレスは、他の人に再割り当てすることができないことに注意してほしい。ロシアの旧所有者は確実に使い続けるので、これらのアドレスは新しい保有者の手には渡らず、多くの衝突が発生するため、実際には機能しない。

RPKIによってルーティングが一様に安全であれば、割り当て解除の効果はより強くなる。しかし、これはどこでも同じというわけでは ない。

国際的なRIRの代わりに、さまざまな国が競合するレジストリを設定し、アドレスが二重に割り当てられるなど、障害が発生することが予想される。

ここでも、DNSと同様、ローカルな判断が必要かもしれない。事業者は、ロシアのアドレスから来るIPパケットを拒否したり、ロシアのASを含むBGPアナウンスを拒否したりすることができる。おそらく今後数週間は、ある通信がある場所で機能するような、複雑な風景が見られるだろう。

ここまで、ロシア以外の人々がロシアとの通信を遮断している可能性について述べてきた。しかし、遮断は、例えばロシア市民が自由に情報を得られないようにするために、ロシアが主導して行うことも可能だ。今のところ、そのようなことはないようだ(RTを見ることもできる)。

最後に、.ruの切断を求めたウクライナ政府の文章には、CAについても触れられている。彼らはICANNやRIRに依存せず、その国の法律に従って独自に判断している。もし彼らがロシアの証明書を取り消すと決めたら、同様の問題が発生するであろう。すなわち、通信は部分的に、ロシアは独自のCAを設定し、一般にセキュリティを弱めることになる。

https://labs.ripe.net/author/stephane_bortzmeyer/internet-network-shutdowns-in-russia/

Table of Contents