弊社では、急増している迷惑メール、DDoS攻撃などへの対策として、2007年8月28日より順次、送信元IPアドレスの検証(Source Address Validation)を実施し、不正な送信元IPアドレスによる通信を遮断することといたします。これを行うことにより、不正な通信を未然に防ぐことができ、お客様へより安定したインターネットサービスをご提供することが可能となります。
通常、お客様がインターネット接続を利用しホームページをご覧になったり、メールの送信を行ったりする際、弊社が割り当てるIPアドレスが利用されますが、お客様のパソコンがウイルスに感染することにより、弊社が割り当てるIPアドレスではなく、偽装されたIPアドレスが利用されることがあります。
これら不正なIPアドレスによる通信を利用し、お客様の知らぬ間に悪意を持った第三者がお客様のパソコンを踏み台(乗っ取り)とし、迷惑メールの送信や、DDoS攻撃を行うために利用される可能性があります。
このような不正な通信が発生し、弊社のネットワークへ負荷がかかる原因となっていました。
| ・弊社のネットワークへ負荷がかかる原因 |
|---|
※ ボットとは … ウイルス感染によりネットワークを通じて外部から操作できるプログラムのこと。 |
弊社が実施する送信元IPアドレスの検証(Source Address Validation)方法は、uRPF(unicast Reverse Path Forwarding)と ACL(Access Control List) によるパケットフィルタのしくみを利用します。
弊社の設備にてお客様から送信される通信の送信元IPアドレスの検証を行い、弊社が割り当てるIPアドレスだと判断された場合は、送信先への送信を許可し、弊社がお客様のインターネット接続に割り当てていない偽装されたIPアドレスと判断された場合は、送信先への送信を許可せず、その通信を破棄します。
| ・送信元IPアドレスが偽装されていないと判断した場合は、通信を《許可》します |
|---|
 |
| ・送信元IPアドレスが偽装されていると判断した場合は、通信を《遮断》します |
|---|
 |
【参考】 uRPF(unicast Reverse Path Forwarding)とは
※ ACL(Access Control List)とは … 静的にパケットフィルタの定義をするアクセス制限リストのこと。
| FTTHプラン | FTTH各プラン | FTTH Extra各プラン |
|---|---|---|
| ECO-CONNECT Bフレッツ各プラン |
| ADSLプラン | ADSL-F | ADSL-F Extra |
|---|---|---|
| ADSL-F Premium各プラン | ECO-CONNECT フレッツADSL |
| ダイヤルアッププラン | IP網 | IP網 Extra |
|---|---|---|
| ECO-CONNECT フレッツISDN |
送信元IPアドレス検証を実施した場合でも、弊社が割り当てるIPアドレスを送信元にした通信は正常な通信とみなし影響はありません。
しかしながら、ウイルスに感染していない場合でも、お客様の環境が以下に該当される場合、送信元IPアドレスが偽装されたと判断され、ホームページの閲覧や、メールの送信ができなくなる場合があります。
【1】冗長化のために、弊社と他社ISPの接続サービスを同時に利用されている場合
【2】冗長化のために、弊社の接続プランを複数同時に利用されている場合
【3】IPsecなどによるVPNを利用し、異なる拠点間を結んでおり、誤った設定がされている場合
詳細につきましては以下をご確認ください。
| 【1】 冗長化のために、弊社と他社ISPの接続サービスを同時に利用されている場合 |
|---|
冗長化のために、弊社と他社ISPの接続サービスを同時に利用されている場合、通信に影響が出る場合があります。 下の例では、他社ISPの接続サービスと弊社の接続サービスをご利用されている場合で、それぞれ割り当てたIPアドレスは以下の通りとします。
この場合、他社ISPで割り当てられたIPアドレス172.16.0.2を送信元として、弊社を経由した場合、弊社のルーティングテーブルには172.16.0.2というIPアドレスの経路は無いために、この通信は破棄されます。
上記に該当すると考えられる場合、ネットワーク構成を見直していただく必要がございますので、お客様の情報ご担当者様へのご確認をお願いいたします。 |
| 【2】 冗長化のために、弊社の接続プランを複数同時に利用されている場合 |
|---|
冗長化のために、弊社の接続プランを複数同時に利用されている場合、通信に影響が出る場合があります。 以下の例では弊社接続プランAと弊社接続プランBをご利用されている場合で、それぞれ割り当てたIPアドレスは以下の通りとします。
この場合、弊社接続プランAで割り当てられたIPアドレス10.10.10.2を送信元として、弊社接続プランBを経由した場合、またその逆で、弊社接続プランBで割り当てられたIPアドレス10.10.10.10を送信元として、弊社接続プランAを経由した場合、それぞれの通信が通過をしようとするルーターのルーティングテーブルには送信元のIPアドレスの経路が無いために、この通信は破棄されます。
上記に該当すると考えられる場合、ネットワーク構成を見直していただく必要がございますので、お客様の情報ご担当者様へのご確認をお願いいたします。 |
| 【3】弊社接続サービスを利用して、IPsecなどによるVPNを構築し、 異なる拠点間を結んでおり、誤った設定がされている場合 |
|---|
IPsecなどによるVPNを構築し、異なる拠点間を結んでおり、誤った設定がされている場合、通信に影響が出る場合があります。 以下の例では東京本社と大阪支店をVPNで結んでいる場合で、それぞれ割り当てたIPアドレスは以下の通りとします。
この場合、東京拠点で割り当てられたIPアドレス10.10.0.2を送信元として大阪拠点経由した場合、またその逆で、大阪支店で割り当てられたIPアドレス10.10.10.10を送信元として東京拠点を経由した場合、それぞれの通信が通過をしようとするルーターのルーティングテーブルには送信元のIPアドレスの経路が無いために、この通信は破棄されます。
上記に該当すると考えられる場合、ネットワーク構成を見直していただく必要がございますので、お客様の情報ご担当者様へのご確認をお願いいたします。 |
uRPF(unicast Reverse Path Forwarding)とは、ルーターのルーティングのしくみを使ったパケットフィルタの技術です。
ルーターは、通信が入ってくると、宛先のIPアドレスを割り出し、そのIPアドレスをルーティングテーブルに照らし合わせて通信の送り先を決めます。この動作を応用し、宛先IPアドレスではなく、送信元IPアドレスをルーティングテーブルに照らし合わせ、一致する場合は、正当な通信と見なし、宛先へ届けます。
しかし、送信元IPアドレスがルーティングテーブルに照らし合わせて、一致しない場合は、不正な通信と見なし、破棄されます
これにより、ウイルスに感染したパソコンが出す不正通信をこのuRPFを利用しインターネット上で遮断することが可能となります。
