NURO光のIPv6に関する騒動の所感

ちょっと前からTwitterやQiitaで話題になってるNURO光のIPv6フィルタ問題について個人的に思ったことを書いていきたいと思う。

まず、急行能登氏(以下 能登氏と表記)のこのツイートが4万リツイート以上されてしまったところからすべてが始まった。

身内向けのツイートとして画像を作ったら偶然バズってしまった感じである。

能登氏と交流がある人物であれば、いつも通りのこと言ってるなぁで済む内容であったが、バズってしまったがために能登氏という人を知らない方々がひねくれた表現をそのまま受け止めてしまい、事態が発展してしまった。

私は日頃から能登氏と交流があるのだが、彼はよく言えば素直な人、悪く言えばオブラートに包むことをせずにクソな事をひねくれた表現で大声でクソと言う人である。

 

さて、先のツイートのリプライで特に悪目立ちしたのが「NURO光」についてである。
能登氏の最初の画像の書き方も悪かったのだが、身内向けだったため本人も気にしていなかったのだろう。(とくに私も気にするような内容では無いと思っている)
だが、バズってしまったためにあの表現を字面のまま受け取ってしまう方が多く、特にNURO光契約者からの反感を買ったのである。

ここで能登氏の主張を以下にまとめてみた。
– IPv6のFWが未実装だったり無効化されている
– IPv6アドレス配布の挙動がおかしい
– 謎にパケットが破棄されることがある
– 以上のことからNURO光はクソである

リストの上3つの事象は実際に起きている事である。

特に一番上のFWが未実装だったり、実装されていたとしても無効化されている事についてクソだと主張している。

だが、最初のツイートにあった「スピードテストでエクスタシーを感じる頭の悪い人向け回線」と書いたことが引き金に炎上してしまった。(能登氏としてはネタでNURO光を引いてスピテス結果をTwitterに上げるための回線くらいのイメージだと思う)

話題になってしまったため、QiitaにてNURO光はセキュリティ的にやばいって話 (安全に使うための方法)を投稿した。

この記事ではNURO光のHGWの機種別のFWの実装状況や、設定方法などの記載している。また、他の事業者の回線と比較をしている。

だがここでも、コメント欄は激しく荒れてしまった。

ここでのコメントで大きく占めているのが「HGWにFWは必要か否か」と言うことだ。

能登氏の主張は「外からの通信がLANに入ってくるのはセキュリティ的にアウト」という見解だが、コメントを見ていると「そんなモノは必要ない」、「回線屋に求めるのは間違っている」というような主張が目立つ。

また、能登氏の最初のツイートに憤りを感じているコメントが目立つようにも見える。

 

以上ここまでがとりあえず今までで起こっていたことをまとめたモノである。

ここからは私の見解を示すこととする。

まずNURO光のという回線についてだが、回線自体の品質は一般的に契約できる回線としてはかなり良い部類に入ると考える。レイテンシーや回線速度の面をみるとここまでの品質で提供できている回線は他にほぼ無い。(アルテリアなどの専用線を除く)

だがNURO光というサービス全体を見ると品質はかなり低いと考える。
回線契約時の電話対応に始まり、回線工事の段取り、解約時の段取りなど、友人宅での開通までのアレコレやTwitterでの評判を見ると、かなり難があると思う。
また、HGWのソフトウェアの出来もよろしくない。FWの実装もそうだが、それ以外にもIPv6関係の実装がお粗末で挙動が全く信用できない。
例えば、/64でしか払い出せないにもかかわらずDHCPv6-PDで配下のルータが要求してきたときに払い出してしまう。当然通信が出来るはずはない。
他にもHGW下にNEC UNIVERGE IXでIPv6でIPsecを張ろうとした際にESPが通らずトンネルが疎通しないことがあったりもした。

またIPv6のFWが未実装 or 実装してあっても無効にされていることを批判したい。
WindowsやmacOS、Android、iOSといった一般的なクライアント端末用OSではユーザが意図的に無効にしない限りデフォルトでFWが有効にされているからまだいいが、スマートテレビやネットワークカメラと言った、いわゆるIoT機器ではまともなFWが実装されているかを確認することは困難である。そのような機器を接続するネットワークの最後の砦がHGWのFWだと考える。それが無いと言うことはもしそれらのIoT機器に脆弱性があった場合に攻撃を防ぐことが困難になってしまう。

IPv6アドレスは天文学的な数で、端末のアドレスを特定するのは不可能だといった主張もあるが、IPv6アドレスはEUI-64というMACアドレスをベースにした生成方法を使っていることが多く、またMACアドレスの前半分はベンダーIDとなっているため、IPv6アドレスの後ろ半分であるインターフェースIDがかなり絞り込めることになる。そしてIPv6アドレスの前半分であるネットワークIDも以下の方法で集めることが可能である。

そして、技術的な方法でなければ、とても悲しいですがこんな方法でもIP集めることできてしまうと考えられます。
1. 1万円札x100枚の札束を10束ほど用意して、並べて写真を取る (またはインターネットから札束の画像を拾ってくる)
2. それっぽいIPを収集するだけのために抽選サイトを用意する(もちろん何回誰が試しても外れる)
3. 「10万円プレゼントキャンペーン!当アカウントをフォローして、以下のサイトから抽選ボタンを押すだけで今すぐ10万円にチャレンジ!」とかつぶやく

能登氏のQiita記事のコメントから引用した。

ここまで読めば攻撃対象のIPv6アドレスが容易に割り出せるのが分かるであろう。

確かに前情報がゼロであれば天文学的な数であるが、実際に攻撃を仕掛けるのであれば天文学的な数から運でアドレスを当てに行くのでは無く、攻撃対象のアドレスにある程度の当たりを付けて攻撃をするであろう。

結局のところIPv6ネットワークにもWANとLANの境界にもFWは必要であると私は考える。

So-netにはいち早くHGW全機種にFWを実装し有効にしてもらいたいと考える。