概要
- 2008 年 2 月 24 日、Pakistan Telecom(AS17557)は、YouTube の 208.65.152.0/22 アドレスブロックのより詳細な部分である 208.65.153.0/24 に対する不正な経路を発信した。RIPE NCC の Routing Information Service のケーススタディによれば、PCCW Global(AS3491)がその経路をインターネット全体に転送し、YouTube のトラフィックが世界的にパキスタンへリダイレクトされた。
- この障害は国内政策目的を世界的な可用性インシデントへと変えた。当時の報道は、パキスタン電気通信庁がパキスタンの ISP に対して YouTube をブロックするよう命令したことと結びつけている。経路の証拠は、Pakistan Telecom の BGP によるブロック実装が、上流のトランジットプロバイダがそのアナウンスを受け入れて伝播させたために国境を越えたことを示している。
- YouTube の復旧は BGP の対抗手段に依存し、コンテンツプラットフォームの修復ではなかった。YouTube は 20:07 UTC に同じ/24 のアナウンスを開始し、その後 20:18 UTC に 2 つの/25 のより詳細な経路をアナウンスした。RIPE NCC は 21:01 UTC に PCCW が AS17557 によって発信されたすべてのプレフィックスを引き揚げ、208.65.153.0/24 のハイジャックが終了したと記録している。
- このインシデントは単なる有名な過失ではなく、経路セキュリティの説明責任のケースである。Pakistan Telecom は誤った起点を制御した。PCCW は最初の主要な伝播の門を制御した。YouTube は自らのアドレス空間の緊急ディスアグリゲーションと監視を制御した。他のネットワークは経路の受け入れを制御した。政府はブロック要求を制御した。その後の RPKI、ROA 検証、プレフィックスフィルタリング、MANRS などの業界メカニズムは、教訓が無視できなくなった後の実践的な責任がどのようなものかを示している。
国内フィルターが世界的な経路になった
YouTube ハイジャックが記憶に残っているのは、説明が十分シンプルでありながら、インターネットの信頼モデルを当惑させるほど深刻だったからである。ある政府は国内プラットフォームの遮断を望んだ。国内通信事業者事業者がトラフィックを局所的に消失させる BGP 経路を生成した。上流プロバイダがその経路を配信した。他の場所のルーターはそのアナウンスを信じた。結果はパキスタン国内限定のブロックではなかった。それは YouTube トラフィックの世界的な誤誘導だった。
RIPE NCC のRouting Information Service ケーススタディは最も明快な技術記録である。それによると、2008 年 2 月 24 日日曜日、Pakistan Telecom(AS17557)が 208.65.153.0/24 の不正なアナウンスを開始した。YouTube(AS36561)はインシデント前、最中、その後も 208.65.152.0/22 をアナウンスしていた。208.65.153.0/24 はその/22 内のより詳細なプレフィックスであるため、両方の経路を受信したルーターは/24 内のアドレスに対してより詳細な経路を優先する。RIPE は、PCCW Global(AS3491)が Pakistan Telecom のアナウンスをインターネットの他の部分に転送し、その結果 YouTube のトラフィックが世界的にパキスタンへリダイレクトされたと述べている。
当時の Renesys のPakistan hijacks YouTube 分析は同じ本質的なメカニズムを説明している。2 月 24 日の UTC デーの終わり頃に、Pakistan Telecom が YouTube の割り当てネットワークの小さな部分を広告し始め、そのより詳細な経路がプロバイダによって受け入れられ伝送された。後のGoogle Research の公表ページの経路ダイナミクス分析は同じ事実を要約し、イベントを世界的なハイジャックと結びつけている。完全な分析 PDFは、RIPE NCC 参加のもとで作成され、約 300 の観測点からイベントが観測され、ハイジャック中の経路進展を再構築したと述べている。
このイベントは、YouTube への侵入、YouTube サーバーの障害、あるいは各国のパケットフィルターを必要としなかった。コントロールプレーンがインターネットに対し、Pakistan Telecom 経由の経路が YouTube のネットワークの一部へのより良いパスであると伝えた。トラフィックはコントロールプレーンに従った。これがインシデントの残酷なまでにエレガントな点である。国内向けのブロック命令が国境を越えたのは、BGP アナウンスがその原因である政策目的によって自然には制約されないからである。
時系列は各分が異なる制御保持者を示すために重要である
最も重要なタイムラインはウェブサイト停止のタイムラインではない。それは経路制御のタイムラインである。
| 2008 年 2 月 24 日 UTC 時刻 | ルーティングイベント | 制御の意味 |
|---|---|---|
| 18:47 以前 | YouTube(AS36561)が 208.65.152.0/22 をアナウンス。 | YouTube はグローバルルーティングシステムから見えるより大きなブロックの正当な起点である。 |
| 18:47 | Pakistan Telecom(AS17557)が 208.65.153.0/24 のアナウンスを開始。 | Pakistan Telecom が YouTube のアドレス空間の一部に対して、より詳細な経路を発信。 |
| 18:47 以降 | PCCW Global(AS3491)がそのアナウンスを伝播。 | 最初の上流フィルタリング障害が国内経路をエクスポートされたグローバル経路に変える。 |
| 20:07 | YouTube が 208.65.153.0/24 のアナウンスを開始。 | YouTube が同じプレフィックス長で対抗するため、通常の BGP ポリシーとパス優先度が依然として重要。 |
| 20:18 | YouTube が 208.65.153.0/25 および 208.65.153.128/25 のアナウンスを開始。 | YouTube がさらにディスアグリゲーション。最長一致により、これら/25 アナウンスが受け入れられた場所では/24 に打ち勝つ。 |
| 20:51 | AS17557 のプリペンドが付加されたプレフィックスアナウンスが観測される。 | より長い AS パスによって、より多くのルーターが YouTube 起点のパスを優先するが、悪意のある起点はまだ完全には消えていない。 |
| 21:01 | PCCW が AS17557 によって発信されたすべてのプレフィックスを引き揚げ。 | 上流が悪質な経路の伝播を停止し、RIPE の観測データ上で 208.65.153.0/24 のハイジャックが終了。 |
RIPE NCC のケーススタディはこれらのタイムマークを提供し、21:23 UTC までにそのスナップショットが偽の AS17557 アナウンスの撤回と YouTube の AS36561 への経路を示したことも記録している。MENOG のプレゼンテーションPakistan Telecom vs. YouTubeは、ネットワークオペレーター向けに同じ運用上のストーリーを提示している。Pakistan Telecom が/24 をアナウンスし、PCCW がそれを転送し、YouTube がオフエアになり、YouTube がより詳細な経路をアナウンスしてイベントを修正する手順を取った。
このタイムラインにはガバナンスの教訓がある。18:47 の時点では、実質的な制御は Pakistan Telecom にあった。「保有していないアドレスブロックを発信するな、国内ブラックホールをトランジットにエクスポートするな」ということである。直後には、実質的な制御は PCCW にあった。「顧客が発信権限のない顧客経路を受け入れ、伝播させるな」ということである。20:07 と 20:18 には、制御は部分的に YouTube に移った。「経路起点を監視し、緊急の詳細経路をアナウンスし、上流と調整することで自らの到達可能性を守れ」ということである。21:01 には、上流の撤回が中心的な経路リークを終わらせた。
この割り当ては「BGP が失敗した」と言うよりも有用である。BGP はその展開された信頼モデルが許す通りに動作した。オペレーターは局所的なブロックを局所的に留めるために必要な検証を行ったか、怠ったかである。
政府命令がグローバルな伝播を説明しない
政治的な文脈は必要だが十分ではない。当時の報道は経路ハイジャックをパキスタン電気通信庁のブロック命令と結びつけた。CBS Newsは、当局が反イスラム的な映画のためにインターネットサービスプロバイダに YouTube のアクセスを遮断するよう命じ、Pakistan Telecom がその経路が PCCW に公開される前にリクエストを局所ブラックホールへ向かわせる経路を確立したと報じた。Computerworldは、YouTube がパキスタンのネットワークがイベントの発生源であるとの声明を出し、パキスタンの ISP に対する PTA の命令を説明したと報じた。ABC News Australiaは後に、パキスタンが YouTube の禁止を解除し、その行動によって引き起こされた世界的な停止は意図的ではなかったと述べたと報じた。
これらの説明は政策から運用への連鎖を示している。国家規制機関または政府当局は国内ユーザー向けにサイトをブロックしようとした。ネットワークオペレーターはブロックを実装しなければならなかった。オペレーターは技術的なメカニズムを選択した。メカニズムが暴走した。この区別は重要である。国家が検閲を命じることがあり、その命令は人権と公共政策の結果を伴う。しかし世界的な停止は、ネットワークエンジニアや上流プロバイダが制約できたかもしれない経路選択を必要とした。
したがって、実践的な制御の問題は、パキスタンが国内で YouTube をブロックする権限を持っていたかどうかよりも、より鋭いものである。それは次のような問いである。
- ブロック命令が手法を指定したのか、それとも実装をオペレーターに委ねたのか?
- Pakistan Telecom は上流トランジットにエクスポートされない局所専用の経路ブラックホールを持っていたのか?
- Pakistan Telecom の境界の経路フィルターは不正なプレフィックスがネットワークから出るのを防いでいたのか?
- PCCW は顧客発信のアナウンスにプレフィックスフィルターを維持していたのか?
- YouTube は迅速な経路起点アラートとトランジットプロバイダへのエスカレーションパスを受けていたのか?
- 他のグローバルネットワークは経路起点を検証したのか、それとも単にトランジットパスが供給するものを信じたのか?
ここでレビューした公開記録には、内部の PTCL 変更チケット、PTA の指示文書、PCCW の 2008 年の顧客フィルター設定、YouTube のインシデントルームログは含まれていない。経路の証拠は含まれている。経路の証拠は、ブロックを国内にとどめるために責任が行使されなければならなかった場所を示している。
検閲制御には技術的な封じ込めが必要
経路ハイジャックは、法的・人権的な問題に到達する以前に、検閲とブロッキングの工学についての警告でもある。規制当局はコンテンツ目標を国内の用語で述べることができるが、ネットワークはその目標を、自動的に国境を理解しない技術システムを通じて実装する。DNS フィルタリング、HTTP プロキシフィルタリング、IP アクセス制御リスト、ディープパケットインスペクション、BGP ブラックホーリングは異なる障害モードを持つ。あるものは局所的に失敗し、あるものはプロバイダ内で副次的損害を生み、あるものは隣接ネットワークに漏洩しうる。他人のプレフィックスに対する BGP ブラックホーリングは、経路アナウンス自体が到達可能性権限についての主張であるため、最も危険な選択肢の一つである。
Wired の当時の分析Pakistan's accidental YouTube re-routing exposes trust flaw in netは、インシデントをインターネットの信頼の欠陥として位置づけた。あるネットワークからの経路アナウンスが、主要サイトのトラフィックをリダイレクトする場合でも、他者によって受け入れられ拡散されうる。これは経路の教訓であると同時に公共政策の教訓でもある。グローバルに意味を持つ制御で実装された国内ブロックは、もはや国内ブロックではない。それは他のネットワークへのエクスポートされた命令となる。
したがって、ネットワークレベルのブロック命令には封じ込めが前提条件でなければならない。政府が国内ネットワークにある宛先をブロックするよう要求する場合、オペレーターはブロック経路、フィルター、ポリシーが上流のトランジットやピアにエクスポートされ得ないことを示せるべきである。経路ベースのブラックホールでは、局所専用のルーティングポリシー、すべての関連するボーダーで尊重される非エクスポートコミュニティ、明示的な発信フィルター、経路ポリシーテスト、意図した境界を越えて経路が見えないことを確認する監視を意味する。DNS ブロッキングでは、再帰的リゾルバが国内顧客によってのみ使用されるかどうか、代替リゾルバが異なる効果を生むかどうかを知ることを意味する。HTTP やアプリケーション層の制御では、その手法が共有ホスティング、CDN アドレス、無関係なサービスを破壊するかどうかを理解することを意味する。
これは検閲の擁護ではない。より狭い運用上のポイントである。国家が課す言論に対する制御は、事故によって国家命令を執行するようグローバルインターネットを徴用できるべきではない。YouTube ハイジャックは、インターネットのルーティングコントロールプレーンが「パキスタンが局所ブロックを望んでいる」と「Pakistan Telecom が YouTube アドレスへの最適経路だ」を区別しなかったことを示した。オペレーターはフィルタリングと検証を通じてその区別を提供しなければならなかった。彼らは十分に早くそうしなかった。
同じ封じ込めの原則は、他の政策駆動型のネットワーク制御にも適用される。裁判所命令、制裁、マルウェアのシンクホール、DDoS ブラックホール、緊急テイクダウン、アビューズ対応はすべて、意図したよりも広い効果を持つ経路、フィルター、DNS 変更を生成しうる。制御が鋭ければ鋭いほど、境界の証明はより強固でなければならない。一つのプロバイダ内で/32 のリモートトリガーブラックホールは慎重に範囲を定められる。一方、プレフィックスを保持していない当事者のためにグローバル BGP に/24 を発信することは、グローバルな到達可能性の主張である。その違いは管理言語ではない。他のルーターがどうするかである。
公共の説明責任にとって、2008 年以降に不足している文書は経路の事後分析だけではない。制御選択の根拠である。なぜ BGP が使われたのか?どのような代替案が検討されたのか?どのようなエクスポート防止テストが実行されたのか?誰が変更を承認したのか?誰がグローバルな可視性を監視したのか?経路が暴走したときにそれを引き揚げる権限を持っていたのは誰か?公開された証拠は経路の経路に答える。それは、組織が将来の政策制御を制約する方法を学んだことを示してはいない。
ロンゲストプレフィックス優先が小さな経路を大規模な障害に変えた
技術的な根本原因は通常の BGP の動作である。BGP は自律システム間で到達可能性情報を配布する。RFC 4271は BGP-4 を自律システム間ルーティングプロトコルとして説明し、経路を宛先プレフィックスとパス属性の単位として定義している。BGP 自体は道徳的なシステムではない。それはプレフィックスが国家命令に従って、トラフィックを盗むために、障害を修復するために、あるいは誤ってアナウンスされているかどうかを知らない。それはポリシーによって経路を選択し、転送は選択された経路に従う。
YouTube のケースは、どのような単一のポリシーノブよりも深い転送ルールにも依存している。ロンゲストプレフィックスマッチである。YouTube のより広いアナウンス、208.65.152.0/22 はアドレス範囲をカバーしていた。Pakistan Telecom の 208.65.153.0/24 はより詳細だった。ルーターがより大きなブロックへの経路と、その内部のより狭いブロックへの経路の両方を持つ場合、狭いブロック内のアドレスに対するトラフィックは狭い経路に従う。だからこそ、単一の/24 が YouTube の/22 が存在し続けているにもかかわらず、YouTube の IP アドレスへのトラフィックを引き寄せることができたのである。
RIPE のケーススタディは、関係する YouTube の DNS IP 番号(208.65.153.0/24 内のアドレスを含む)を列挙している。また、YouTube が最初に同じ/24 をアナウンスし、その後 2 つの/25 プレフィックスをアナウンスした理由も説明している。同じ/24 は YouTube に等しい詳細さの経路を与えたが、ルーターは依然として等しい長さの経路間で BGP パス選択を使用した。2 つの/25 経路はさらに詳細だったため、それを受け入れたルーターはハイジャックされた/24 の両方の半分についてトラフィックを YouTube へ誘導するだろう。これは緊急ディスアグリゲーション戦略だった。
その戦略は効果的だったがクリーンではなかった。より詳細な緊急アナウンスは到達可能性を回復できるが、グローバルテーブルを拡大し、ネットワークがその長さのプレフィックスを受け入れることに依存する。RIPE のケーススタディは、2 つの/25 プレフィックスが/24 よりもインターネット上ではるかに見えにくかったと指摘している。したがって、防御は部分的かつ運用上のものであり、YouTube だけがすべての悪質な経路をどこでも上書きできるという証明ではなかった。
このイベントはコンテンツプラットフォームとクリティカルサービスに対する厳格な教訓を教える。アドレスを所有しているだけでは不十分で、インターネットの他の部分が他者のより詳細なアナウンスを好むように説得されうるのである。オペレーターは、経路起点監視、上流との事前調整されたエスカレーション、登録された経路オブジェクト、可能な場合は ROA、副作用が理解されているリハーサルされた緊急ディスアグリゲーション手順を必要とする。
PCCW が伝播の門だった
Pakistan Telecom が不正な経路を発信したが、イベントがグローバルになったのは上流がそれを流したからである。RIPE のケーススタディは、PCCW Global(AS3491)を、アナウンスをインターネットの他の部分に転送した上流プロバイダとして挙げている。Renesys と当時の報道も同じ点を指摘している。これが、上流フィルタリングが説明責任の記録の中心に座る理由である。
上流はすべての顧客経路の背後にある政治的理由を知る必要はない。顧客が発信することが許可されているプレフィックスを知る必要がある。顧客コーンとアドレスレジストリは変わりうるが、核心的な制御はエキゾチックではない。既知の顧客権限に一致する顧客経路のみを受け入れ、他のネットワークに属するプレフィックスの経路アナウンスを拒否し、緊急例外のための連絡手順を維持する。国内通信事業者事業者は多くの顧客とプレフィックスを運ぶかもしれないが、まさにそれがフィルタリングと経路オブジェクトの衛生が重要である理由である。
MANRS ネットワークオペレーターのアクションページは現在、これを業界規範として表現している。MANRS はグローバルルーティングシステムのセキュリティと回復力を向上させることを目的とし、不正確なルーティング情報を含む一般的な脅威に対する対策として、フィルタリング、アンチスプーフィング、調整、グローバル検証を位置づけている。MANRS 実装ガイドは、フィルタリング、調整、グローバル検証、関連プラクティスのためのチェックリストをオペレーターに提供している。MANRS は 2008 年には現在の形では存在しておらず、メンバーシップが自動的に完璧な運用を証明するわけではない。YouTube の教訓を現在の期待に変換する点で有用である。経路受け入れはセキュリティと回復力の義務である。
PCCW の役割は注意深く述べられるべきである。ここでレビューした公開記録は、PCCW が不正な経路を伝播し、後に AS17557 発信のプレフィックスを引き揚げ、RIPE データ上で/24 のハイジャックを停止したことを支持している。PCCW の完全な内部説明、契約文言、フィルターインベントリは提供していない。PCCW が世界的な停止を意図したことも証明していない。説明責任は意図を必要としない。トランジットプロバイダの価値の一部は、顧客ネットワークを世界に接続することである。その価値は、プロバイダが顧客の虚偽の権限を世界にエクスポートするときにリスクとなる。
Pakistan Telecom の役割は単なるタイプミスではなかった
Pakistan Telecom は、迷える経路を実験室に送る小さな趣味のネットワークではなかった。それはインシデントの起点 AS に関連付けられた国内通信事業者会社であった。現在のPTCL 年次報告書は、Pakistan Telecommunication Company Limited をパキスタンで電気通信サービスを提供するグループの持株会社として説明しており、CAIDA AS Rank for AS17557やBGP.tools for AS17557などの現在の公開経路記録は、その自律システムを Pakistan Telecommunication Company Limited または Pakistan Telecom Company Limited と識別している。これらの現在の記録は 2008 年の内部設定の証拠ではない。それらは関与するネットワークアイデンティティの継続的な重要性を示している。
2008 年において、Pakistan Telecom の責任は少なくとも 4 つの層を持っていた。
第一に、政策要求を技術的制御に変換しなければならなかった。規制当局が国内ブロックを命令する場合でも、オペレーターは DNS フィルタリング、HTTP プロキシ制御、IP フィルタリング、BGP ブラックホーリング、その他の方法のいずれを使うかを選択する。いくつかの方法は粗雑でリスクが高い。ブラックホールへの経路は、それが逃げられない場合、制御されたネットワーク内では適切でありうる。エクスポートされると危険になる。
第二に、エクスポートを制約しなければならなかった。国内ブロックに使われる経路は、ローカルネットワークから出たり、トランジットに受け入れられたりしないようにタグ付け、フィルタリング、スコープ、その他の方法で防止されるべきだった。内部ブラックホール経路は、しばしばアドバタイズを止めるコミュニティやルーティングポリシーを使用する。公開された経路証拠は、どのような制御が必要だったにせよ、それがアナウンスが PCCW およびインターネットの他の部分に到達するのを妨げなかったことを示している。
第三に、効果を監視しなければならなかった。経路が漏洩したら、国内通信事業者事業者は異常なインバウンドトラフィック、上流アナウンス、経路コレクターからのアラーム、国際ピアからの苦情を見ることができるはずである。公開記録は、Pakistan Telecom がグローバルな結果をどれだけ早く検出したか、またはどのような内部エスカレーションが起こったかを示していない。
第四に、修復を調整しなければならなかった。RIPE のタイムラインは YouTube での経路変更と PCCW による引き揚げを示している。記録は、実装選択、正確なミス、封じ込め、または後の制御を説明する公開された PTCL のインシデント後報告書を示していない。その欠如は重要である。なぜなら、インシデント後の説明責任は経路が消えること以上のものを必要とするからである。同じ運用パターンが再発しないという証拠が必要である。
YouTube も回復力の義務を負っていた
YouTube は不正な経路アナウンスの被害者だった。それは虚偽の経路の発信者ではなかった。しかし大規模なコンテンツプラットフォームは、自らのアドレス空間について経路セキュリティの義務を依然として負う。このイベントはその義務の限界と必要性の両方を示した。
YouTube の緊急応答は技術的に有能だった。同じ/24 をアナウンスし、次に 2 つの/25 をアナウンスし、可能な場合にグローバルネットワークが YouTube に戻る経路を優先するように調整した。RIPE のケーススタディはこれらの対抗アナウンスを記録している。Google Research の経路ダイナミクスページと関連 PDF が分析記録を保存している。YouTube はすべてのネットワークに正しい経路を瞬時に好ませることはできなかったし、/25 は/24 よりも見えにくかった。それでも、経路起点監視と緊急ルーティング権限なしでは、復旧はおそらくより遅かっただろう。
YouTube のようなプラットフォームにとっての現代の標準はより広い。正確なルーティングレジストリオブジェクトを維持し、RPKI の下で自らのプレフィックスに ROA に署名し、グローバル経路コレクターを監視し、無効な起点やより詳細なアナウンスについてアラートを出し、24 時間のネットワークエスカレーション連絡先を維持し、どの緊急ディスアグリゲーションが許容可能かを知り、危機前に主要トランジットと調整するべきである。また、正当な緊急ディスアグリゲーションを不可能にする ROA maxLength 設定を、リハーサルされた例外パスがない限り、作成することを避けるべきである。
これは被害者非難ではない。回復力の会計である。プラットフォームは他でアナウンスされたすべての悪質な経路を防ぐことはできないが、検出時間を短縮し、検証ネットワークが悪質な起点を拒否する可能性を高め、復旧手順を即興的でないものにすることができる。
RPKI は説明責任テストを変えたであろう
最も一般的な現代の質問は、RPKI が YouTube ハイジャックを止めただろうかということである。注意深い答えはこうだ。経路起点検証は、正当な保持者が正しい ROA を作成し、ネットワークが無効な経路を検証して拒否していたならば、誤った起点の/24 の伝播を停止または減少させることができたであろう。しかし、それがあらゆるルーティング問題を不可能にしたわけではなく、2008 年には広く展開されていなかった。
RFC 6480は、インターネット番号リソースを証明し、アドレス保持者と経路起点認可を結びつける署名付きオブジェクトを可能にするシステムとして、リソース公開鍵基盤を説明している。RFC 6811は、RPKI を使用した BGP プレフィックス起点検証を規定している。実用的には、アドレス保持者は、どの自律システムがプレフィックスを発信することが許可されているか、また設定されている場合、認可されたアナウンスがどの程度詳細でよいかを示す経路起点認可(ROA)を公開できる。検証ネットワークは受信した経路を有効、無効、未検出に分類し、多くの場合無効な経路を拒否するポリシーを適用できる。
Cloudflare のRPKI 説明は、同じ概念をオペレーター向けの言葉で要約している。RPKI は BGP 経路アナウンスを正しい発信 AS と関連付ける記録に署名する。Cloudflare の後のRPKI 測定更新は、経路起点検証により、経路が利用可能な RPKI レコードと照合され、無効な経路は通常拒否されると説明している。公共教育サイトIs BGP Safe Yet?は、より率直なバージョンを述べている。デフォルトでは BGP はセキュリティプロトコルを埋め込んでいないため、各自律システムは誤った経路をフィルタリングしなければならない。
YouTube のケースに当てはめると、YouTube の 208.65.153.0/24 またはカバーブロックに対する有効な ROA(AS36561 を認可された起点とし、適切な maxLength を伴う)は、Pakistan Telecom の AS17557 起点を検証ネットワークに対して無効にすることができたであろう。経路起点検証を実行し無効を拒否した PCCW や他のトランジットプロバイダは、その経路を伝播または選択しなかっただろう。注意点は maxLength である。YouTube が/22 のみを認可し、/24 や/25 のアナウンスを許可しなかった場合、YouTube 自身の緊急のより詳細なアナウンスが厳格な検証の下で無効になったかもしれない。RPKI は認可を機械チェック可能にすることで説明責任を改善するが、オペレーターは依然として慎重な ROA 設計と緊急時計画を必要とする。
RPKI はまた、すべての BGP 問題を解決するものではない。それは起点を検証するが、AS パス全体は検証しない。それ自体では、すべての経路リーク、トラフィックエンジニアリングのミス、または悪意のあるパス操作を防ぐわけではない。RFC 7908は、BGP 経路リークを問題の別個のクラスとして定義し分類している。RFC 9234は、BGP Roles と Only-to-Customer メカニズムを規定し、ピアリング関係をより明示的にすることで経路リークを防ぐ助けとする。これらのメカニズムは関連する障害に対処するが、誤った起点のハイジャックに対する起点検証を置き換えるものではない。
説明責任のシフトは重要である。広範な RPKI 展開以前は、上流はプレフィックスフィルタリングが困難でレジストリデータが不完全であると主張できた。RPKI とより良いツーリングの後では、問いはより具体的になる。アドレス保持者は正確な ROA を公開したか?上流は検証したか?無効を拒否したか?ネットワークは例外を測定したか?「BGP は信頼ベースである」は、実用的な検証が存在する場所ではもはや完全な防御ではない。
現在のルーティングセキュリティガイダンスが教訓を運用可能にする
NIST のSP 800-189は回復力のあるドメイン間トラフィック交換を説明し、BGP 制御トラフィックのセキュリティ確保、IP アドレススプーフィング防止、DDoS 検出と緩和の側面に関するガイダンスを提供している。NIST のページは、BGP がインターネットを構成する数万の自律ネットワーク間のパスを配布し計算するために使用される制御プロトコルであると述べている。RPKI、BGP 起点検証、プレフィックスフィルタリングを含む技術を推奨している。
APNIC のルーティングインセキュリティ測定記事は、ルーティングセキュリティをオペレーターの実践と MANRS アクション(フィルタリング、アンチスプーフィング、調整、グローバル検証を含む)に結びつけている。これらは抽象的な理想ではない。それらは 2008 年の障害に直接マッピングされる。
- フィルタリングは、PCCW が AS17557 が 208.65.153.0/24 をアナウンスする権限があるかどうかを問うたであろう。
- グローバル検証は、経路起点データを見えるようにし機械チェック可能にしたであろう。
- 調整は、検出から引き揚げまでの時間を短縮し、YouTube が適切なオペレーターに到達するのを助けたであろう。
- アドレス保持者による良好な経路オブジェクトと ROA の衛生は、正しい起点の検証を容易にしたであろう。
- 内部ブラックホール制御は、国内ブロックがエクスポートされた経路になるのを防いだであろう。
このインシデントはまた、ルーティングセキュリティがネットワークエンジニアリングだけの課題ではない理由を示している。国家の検閲命令が運用上の圧力を生み出した。通信事業者がその圧力を経路に変換した。トランジットプロバイダがそれを伝播した。グローバルプラットフォームが復旧しなければならなかった。数百万のユーザー、広告主、クリエイター、依存サイトが到達可能性の障害を経験した。したがって、ルーティングセキュリティは公共の利益の分野である。
測定が信頼を監査に変える
インシデントは今日の経路セキュリティ測定エコシステムが成熟する前に発生したが、説明責任の機能は同じである。虚偽の権限を拒否または撤回できるほど早く可視化することである。経路コレクター、経路監視サービス、RIR データ、ROA、IRR オブジェクト、ルッキンググラス、検証テレメトリーはすべて、他の方法では見えないコントロールプレーンの主張をオペレーターが監査できるものに変える。
RIPE RIS は、複数の観測点から経路アナウンスをキャプチャしたため、YouTube イベントの再構築の中心となった。Google/Roma Tre の分析は、数百の観測点を使用して経路がどのように進展したかを調べた。この種の証拠はインシデントの最中に重要であり、後になってからだけではない。プラットフォームが、その空間のより詳細なプレフィックスが予期しない AS によって発信されているというアラートを受け取った場合、顧客がウェブサイトに到達できないことを証明し終える前に、トランジットプロバイダにエスカレーションできる。上流が顧客経路が RPKI の下で無効になるのを見た場合、それがグローバルパスになる前に拒否するか、少なくともアラームを出すことができる。
監査はインセンティブも変える。顧客の経路をフィルタリングなしで受け入れるプロバイダは、特にその経路が他者へのトラフィックを引き寄せる場合、直ちに局所的な痛みを経験しないかもしれない。公開経路データはその行動を見えるようにする。アドレス保持者は、どのネットワークが無効な起点を受け入れたかを見ることができる。ピアは、なぜトランジットプロバイダがそれを運んだのかを尋ねることができる。顧客は、自らの上流が検証しているかどうかを尋ねることができる。規制当局や調達チームは、通信事業者が MANRS スタイルのフィルタリングと調整の規範に従っているかどうかを尋ねることができる。これらの質問は抽象的なコンプライアンスではない。それらは BGP の古い信頼モデルを測定された信頼モデルに変える社会的メカニズムである。
国内通信事業者事業者にとって、監査層は内部と外部の両方であるべきである。内部的には、オペレーターまたはその顧客コーンが所有していないすべての経路アナウンスは、特にブロッキング、ブラックホーリング、緊急応答のために生成された場合、経路ポリシーレビューをトリガーすべきである。外部的には、オペレーターは正確な IRR オブジェクトを公開し、自らの空間の ROA を維持し、顧客とピアの経路を検証し、他のネットワークが実際に到達できる緊急連絡先を維持すべきである。経路ハイジャックは時間に敏感である。翌営業日にチェックされるメールボックスは運用調整ではない。
上流トランジットプロバイダにとって、監査の負担はさらに鋭い。各顧客について、期待されるプレフィックスセット、それを構築するために使用されたデータソース、RPKI 状態、例外、最終レビュー日、変更管理パスを生成できるべきである。顧客が突然有名なプラットフォームのプレフィックスをアナウンスした場合、デフォルトの姿勢は拒否または隔離であるべきであり、謝罪の後に続くグローバルな伝播ではない。
説明責任マップ
インシデントは、単一の悪者ではなく、階層化された責任として最もよく理解される。
| アクター | 実践的制御 | 説明責任の問い |
|---|---|---|
| パキスタン電気通信庁または関連国家当局 | 国内ブロック命令と政策範囲 | 命令は越境リスクのあるネットワークレベルの方法を要求または許可したか? 権利と比例性は考慮されたか? |
| Pakistan Telecom(AS17557) | 経路発信、国内ブラックホール方法、エクスポートポリシー、監視、エスカレーション | なぜ YouTube プレフィックスが AS17557 によって発信され、国内制御境界を越えてエクスポートされたのか? |
| PCCW Global(AS3491) | 顧客経路受け入れと伝播 | なぜ YouTube アドレス空間に対する顧客経路が受け入れられ、インターネットの他の部分にエクスポートされたのか? |
| YouTube(AS36561) | プレフィックス登録、監視、緊急アナウンス、上流調整 | YouTube はどれだけ早くハイジャックを検出し、対抗アナウンスを行い、引き揚げを調整し、経路起点保護を強化したか? |
| 他のネットワーク | 経路選択、フィルタリング、RPKI 検証、インシデント応答 | ネットワークは偽の経路を盲目的に受け入れたか、または経路起点検証とプレフィックスフィルターを適用したか? |
| 地域インターネットレジストリと標準化団体 | リソース証明、ルーティングレジストリサポート、ガイダンス、測定 | オペレーターに経路権限を検証するための使用可能なメカニズムとインセンティブが与えられたか? |
| ユーザーと影響を受けた事業者 | 限られた直接制御 | 正確な公開情報が提供され、依存サービスは代替の通信または継続性パスを持っていたか? |
このマップは二つの間違いを避ける。第一は、イベントを Pakistan Telecom 単独に還元することである。Pakistan Telecom は不正な経路を発信したが、グローバルな障害は上流の伝播と他の場所での弱い検証を必要とした。第二は、責任を「インターネット」に溶解させることである。インターネットは単一のオペレーターではないが、各自律システムは、どの経路を発信し、受け入れ、検証し、エクスポートするかについて具体的な選択を持つ。
未だ不明の事項
公開記録は完全な組織監査に必要なすべての詳細を含んでいない。
元の PTA ブロック命令、内部の PTCL 実装変更、経路をエクスポートしたルーターポリシー、正確な PCCW 顧客フィルター設定、Pakistan Telecom、PCCW、YouTube、および他のトランジットオペレーター間のすべての非公開通信は含まれていない。グローバルな停止を引き起こす意図を証明するものではない。当時の情報源と後の要約は、グローバルな結果を意図的でなかったと説明している。証拠は、故意のグローバル攻撃の主張ではなく、過失または制御されていないルーティング結果を支持している。
また、影響を受けたすべてのユーザー、国、収益損失、クリエイター損失、または依存サービスについての正確な主張を支持するものでもない。RIPE と Google の研究は、グローバルな経路伝播と YouTube トラフィックのリダイレクションを示している。当時の報道は大規模な停止を説明した。正確なユーザー体験は、ネットワーク、キャッシュされたコンテンツ、DNS 状態、経路受け入れ、YouTube の対抗アナウンスのタイミングによって異なった。
PTCL または他のネットワークの現在の公開ルーティング姿勢は、2008 年に遡って読み取られるべきではない。BGP.tools と CAIDA は現在のネットワークアイデンティティとルーティングコンテキストに有用である。それらはインシデント時にどのようなフィルター、ROA、ルーティングポリシーが存在したかを証明しない。
最後に、RPKI は魔法の歴史的修正として扱われるべきではない。今日重要なメカニズムは、2008 年には成熟した運用形で存在しなかったか、広く展開されていなかった。有用な問いは、2008 年のオペレーターが 2026 年のすべてのツールを使うべきだったかどうかではない。2008 年のインシデントが将来の義務を明確にしたかどうかである。起点認可を公開し、顧客経路を検証し、無効なアナウンスを拒否し、インシデントを迅速に調整し、ポリシーフィルターが意図した境界から逃げるのを防ぐことである。
実践的な教訓
2008 年 YouTube ハイジャックは、インターネットの歴史の逸話だけではない。それはグローバルにルーティングされるネットワークにおける国内通信事業者の力のためのコンパクトな説明責任モデルである。
政府は圧力を生み出せる。国内通信事業者は経路を生み出せる。上流トランジットプロバイダはグローバルな到達範囲を生み出せる。他のネットワークはその主張を受け入れるか拒否できる。プラットフォームは検出し対抗できる。標準化団体は検証ツールを提供できる。ユーザーは結果を単純な停止として経験するが、責任はコントロールプレーン全体に分散している。
最も重要な設計ルールは封じ込めである。国家またはオペレーターが国内でサービスをブロックすることを決定した場合、その方法は技術的にその国内ネットワークに封じ込められ、その管轄内で法的に説明可能でなければならない。他者のプレフィックスに対する BGP アナウンスは、封じ込められたコンテンツフィルターではない。それは到達可能性権限の主張である。その主張をエクスポートすることは、インターネットの他の部分にそれを信じるよう招く。
第二のルールは検証である。顧客経路は既知の権限に対してフィルタリングされるべきである。アドレス保持者は正確な ROA を公開すべきである。トランジットネットワークは無効を検証し拒否すべきである。オペレーターは最新の経路オブジェクトと連絡先を維持すべきである。経路コレクターは継続的に監視されるべきである。インシデントレスポンダーは、どの上流が悪質な経路を迅速に引き揚げられるかを知るべきである。
第三のルールは謙虚さである。BGP の信頼モデルはインターネットをスケーラブルにしたが、検証のない信頼は局所的な運用行為をグローバルなイベントに変えることを許す。YouTube ハイジャックは、国家の政策決定、単一のより詳細なプレフィックス、そして一つの寛容な上流が、世界最大級のプラットフォームのトラフィックをリダイレクトしうることを示した。業界は現在、より良いツールを持っている。説明責任の基準は、オペレーターが次の局所的な制御が逃げ出す前にそれらを使うかどうかである。

