IPv6でセキュリティがスカスカになってませんか？

さくらインターネットが、VPSの標準OSイメージでIPv6設定デフォルト無効化を発表しました。

• さくらのVPS、標準OSイメージの仕様変更のご連絡 (IPv6設定デフォルト無効化)

発表では、以下のようにあります。

初期状態のおけるセキュリティ向上のため、以下のOSについてIPv6のデフォルト無効化を実施いたします。 有効化手順につきましては、ヘルプページをご用意しておりますのでそちらをご確認ください。

個人的には、IPv6が普及しつつある現状に対する一歩先を行く対応だと思いました。 流石だなぁと。

気づかずに放置されるIPv6セキュリティ

現段階では、IPv6環境でのセキュリティが放置されがちです。 IPv4環境とIPv6環境のセキュリティの差に関して述べられている発表が昨年ありました。

• ITU/APNIC/MICT IPv6 Security Workshop : Securing the Transition Mechanisms(PDF) 2016年5月

この発表の中で、「Dual Stack - Your IPv4 Security」と「Dual Stack - Your IPv6 Security」という二つの画像が使われています。

IPv4環境でのセキュリティは強固のものが整備されている一方で、IPv6環境でのセキュリティはザルになっているというイメージ画像です。

このイメージ画像には、ウケ狙いもあると思いますが、実際にこういった問題が発生しがちです。 運用者はIPv6でのサービスを一切していないつもりでも、実はIPv6経由で通信が可能になってしまう場合もあります。 ネットワーク側がある日突然IPv6対応になることもありますが、それに気がつかずにIPv4の通信だけに対してファイアウォールなどの設定が行なわれている場合もあります。 IPv6の存在に気がつかずにIPv6でのセキュリティ設定が放置されるというよりは、IPv6セキュリティも考慮する必要があるように変わったことに気がつかないという感じかも知れません。

ネットワークだけではなく、アプリケーションも関連します。 ソフトウェアをアップデートしたら、その中にIPv6対応のためのコードが含まれており、IPv4とIPv6の両方で通信が可能になるように変わっていることもあります。 IPv6ソケットを使ってIPv4とIPv6の両方を同時に対応させるようにアプリケーションが実装されている場合もあります。

• IPv6ソケットでlistenするとIPv4でも接続可能に

たとえばサーバ運用者が、これまで通りIPv4で正常に動いている点だけを確認しているものの、その設定でIPv6での通信まで同時に行えるようになっていることに気がつかないこともあるのです。 そういった状態になっている事例を実際に発見したことがありますが、そのつもりがあるかどうかを質問したら担当者が「あれ？？？」と言って調査していました。

最後に

IPv6の利用は、世界中で確実に増えています。日本でも、今年度中にIPv6利用者数が大幅に増えると思われます(参考：日本国内携帯3社、2017年度中にIPv6導入)。

IPv6を勉強するのは大事だと思いますし、試せるところで試すのも大事だと思います。その一方で、IPv6を使うという明確な意思がない場合には、IPv6を意図的に無効にする設定を選択するのという判断も正しいというのが現時点での私の考えです。積極的に使ってみよう、でも、積極的に使わないという選択も否定すべきではないと思うのです。

IPv4とIPv6は直接互換性がありません。似て非なるものなのです。 そして、その似て非なるものが同時に運用されているのがIPv4とIPv6のデュアルスタックです。

IPv6利用者が増えるいまだからこそ、IPv6とIPv4のデュアルスタック環境を運用することによって発生する問題を抑えることが大事になっていくのだろうと思います。

宣伝

IPv6本のクラウドファンディングをやってます。よろしくお願いいたします！

• 無償で読めるIPv6本を作ります

最近のエントリ

• 「ピアリング戦記」の英訳版EPUBを無料配布します！
• IPv4アドレス移転の売買価格推移および移転組織ランキング100
• 例示用IPv6アドレス 3fff::/20 が新たに追加
• ShowNet 2024のL2L3
• ShowNet 2024 ローカル5G
• ShowNetのローカル5G企画（2022年、2023年）

過去記事

過去記事一覧