IPv6のセキュリティ上の注意点 あいぴーぶいろくのせきゅりてぃじょうのちゅういてん
IPv6セキュリティRA FloodingNDPスプーフィングシャドウIPv6IPsec
IPv6のセキュリティ上の注意点について教えて
簡単に言うとこんな感じ!
IPv6はIPv4と比べてセキュリティが向上している面もあるけど、新たな攻撃手法も生まれてるんだよ。特に「RAフラッディング」「NDPスプーフィング」「意図しないIPv6有効化」などに気をつける必要があるんだ!
IPv6のセキュリティとは
IPv6はIPv4と比べていくつかのセキュリティ上の改善があります。IPsecが標準仕様に含まれ、NATによるセキュリティの隠蔽に頼らないエンドツーエンドセキュリティが可能になります。
一方で、IPv6特有のセキュリティリスクも存在します。多くのネットワーク管理者がIPv4のセキュリティには慣れているものの、IPv6の挙動を理解しないまま運用している「セキュリティギャップ」が問題です。
IPv6特有のセキュリティリスク
| リスク | 概要 | 対策 |
|---|---|---|
| RAフラッディング | 偽のRouter Advertisement(RA)を大量送信。デフォルトルートやアドレスを乗っ取る | RA Guard(RFC 6105)の設定 |
| NDPスプーフィング | IPv4のARPポイズニングと同様。偽のNeighbor Advertisementで通信を横取り | SEND(RFC 3971)・DAI設定 |
| シャドウIPv6 | IPv4のみ管理しているつもりが、機器が自動でIPv6(fe80::等)を有効化。意図しないIPv6経路が生まれる | IPv6を明示的に管理・監視 |
| IPv6 Extension Header悪用 | 拡張ヘッダを使ったファイアウォール回避 | 不審な拡張ヘッダをフィルタリング |
| Teredo/6to4トンネル | IPv4ファイアウォールをIPv6トンネルで迂回 | 不要なトンネルプロトコルをブロック |
歴史と背景
- 2001年:IPv6セキュリティの問題が研究者間で指摘されはじめる
- 2007年:RFC 4942でIPv6セキュリティの問題点が体系化
- 2011年:RA Guardの標準化(RFC 6105)
- 2012年頃:シャドウIPv6問題が企業ネットワークで顕在化
- 現在:IPv6移行の加速に伴い、IPv6セキュリティ設定の重要性が高まる
RA Guardの動作
セキュリティ強化のベストプラクティス
- RA Guardを設定する:スイッチで正規のルーターポート以外からのRAをブロック
- IPv6を明示的に管理する:IPv4ファイアウォールに加え、IPv6ファイアウォールを必ず設定
- 不要なIPv6を無効化しない(逆効果の場合あり):代わりに監視・制御を強化
- DHCPv6とIPv6のログ収集:インシデント発生時の追跡に必要
- IPsecを活用する:IPv6の強みを生かしたE2Eセキュリティ
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4942 | IPv6移行/共存環境のセキュリティ考慮事項 |
| RFC 6105 | RA Guard |
| RFC 3971 | SEND(Secure Neighbor Discovery) |
関連用語
- IPv6アドレス体系 — IPv6セキュリティの基礎
- NDP(近隣探索) — NDPスプーフィングの対象プロトコル
- IPv6 Onlyネットワーク — IPv6専用環境でのセキュリティ