TeleGeography/PriMetrica, Inc.(http://www.telegeography.com/product-info/map_cable/)より
エジプトがインターネット接続を切断した、と報じられている。エジプト・アラブ共和国のccTLD(country code Top Level Domain:国別コードトップレベルドメイン)である「.eg」ドメインのサイトはほぼ接続できないし、カイロ国際空港のように、.comドメインでもサーバーがエジプト国内にあると思われるサイトにも接続できない。一方で、エジプト政府ポータルやエジプト観光庁など、エジプト政府が対外向けに開設しているサイトにもアクセスできない。国内の秩序を維持するために、限定的にインターネットの接続を制限しているのではなく、確かに、エジプト全体のネットワークがインターネットから切り離されたようなのだ。では、エジプトはどんな方法でインターネットから離脱したのだろうか?
Amazon.co.jpで購入
ネットワークの基本は、レイヤーで考えることだ。先日Web Professional編集部から刊行したムック『ネットワークの基本がまるごとわかる本』でも、巻頭の「TCP/IP基礎講座」でOSI参照モデル(7階層モデル)やTCP/IPの4階層モデルを紹介している。エジプトに限らず、1つの国がインターネットから離脱する方法を考えてみよう。
1.ケーブルを切断する
7階層モデルの最下位層は「物理層」である。物理層では信号やコネクターの形状が定義され、異なるメーカー間の機器でも、物理層の規格どおりに設計・製造すれば通信できる。物理層で見た場合、インターネットは、架線ケーブルや埋設ケーブル、海底ケーブルで結ばれた拠点間通信の集合体であり、ケーブルを切断すれば機能しなくなる。エジプトの場合、エジプト第2の都市アレキサンドリアに地中海経由でヨーロッパ大陸へ、紅海経由でインドにつながる海底ケーブルの陸揚げ拠点がある。2008年、2009年には立て続けにケーブルが切断され、ヨーロッパから西アジアのインターネットが不安定になる「事故」があった。海底ケーブルの地図を見ると、エジプト(スエズ運河)はまさにアフリカ、ヨーロッパ、アジアを結ぶ通信の要衝であることが確認できる。
ただし、エジプトがインターネットを離脱したといっても、ヨーロッパと西アジアの通信がつながりにくい、といった事態は起きていない。ケーブルを切断するといった物理層の方法ではなさそうだ。
2.IPアドレスを制限する
7階層モデルの下から3層目は「ネットワーク層」である。ネットワーク層は、ネットワーク間の通信を実現するプロトコルの担当領域で、インターネット(TCP/IP)の場合はIPが相当する。
インターネットでは、IPアドレスを使ってパケットの送信元と送信先を指定する。IPv4用のIPアドレスは歴史的経緯から、初期のインターネットに関わった企業やアメリカ政府関連の省庁や組織、世界の5大陸にあるネットワーク管理団体(北米、南米、ヨーロッパ、アジア、アフリカ)に割り当てられている。エジプトのIPアドレスはIANA(Internet Assigned Numbers Authority)がAfriNICに割り当てたIPアドレスのうち、217.52.0.0~217.55.255.255など、65ブロック、570万以上が割り当てられているようだ。ただし、IPアドレスはネットワーク管理団体以外に企業に割り当てられることもある。IPアドレスから国外との通信を見分けられるが、エジプトで使われているIPアドレスの「完全なリスト」は存在せず、エジプト当局が国内のIPアドレスを網羅したリストに基づいて通信を遮断する命令を出すのは難しい。特に今回は現地時間1月28日0時を過ぎて、エジプトへの通信がいっせいに切断されたことから、当局が前日の午前中にはISPに対して遮断措置を発令したと考えられており、IPアドレスに基づくフィルタリングは時間的に無理がある、と言われている。
3.ルーティングプロトコルを規制する
インターネットを形成するネットワーク同士で、あるパケットを送信するにはどのネットワークを通るのが近道なのかを決める仕組みをルーティング(経路制御)といい、ルーティングの単位となるISPや大企業のネットワークを「AS(Autonomous System:自律システム)」と呼ぶ。AS同士の経路情報の交換には、BGP(Border Gateway Protocol)と呼ばれるルーティングプロトコルが使われる。
BGPなどのルーティングプロトコルはネットワーク層の補助プロトコルに位置づけられるが、BGPが動作するサーバー(ルーター内蔵のルーティングテーブル管理機能)は、アプリケーション層で動作するとも考えられる。エジプトがインターネットから離脱した方法で有力視されているのはBGPの切断だが、BGPをネットワーク層の補助プロトコルと捉えるか、アプリケーション層で動作するBGPサーバーと捉えるかで方法は異なる。
BGPをネットワーク層の補助プロトコルと捉えた場合、ISPがBGPが経路情報の交換に使う「広告(Advertisement)」のメッセージをフィルタリングすれば、個々のネットワークは切断される。BGPの広告メッセージはTCPのポート179を使うので、一方のISPがTCPポート179の通信をブロックすれば、経路情報がやりとりできなくなり、基本的には自分が加入しているISP内でしか通信できなくなる。1月27日まで、エジプトには2903のネットワークと52のISPが観測されていたが、28日には327のネットワークと26のISPだけが観測されたという。簡単だが効果は絶大だ。ただ、この方法ではエジプト国内の経路情報もやりとりできなくなる。エジプト国内のインターネットの状況があまり伝わってこないので、現時点では確認できないが、エジプトのように経済が発展し、インターネットに依存した社会では影響が大きすぎる。
一方、BGPをアプリケーション層で動作するBGPサーバーと捉える場合、インターネットから離脱するには2つの方法が考えられる。1つはBGPサーバー(ルーター)の電源を切ったり、ケーブルを抜いてしまったりする方法だ。簡単で効果的だが、影響範囲も大きい。もう1つは、BGPサーバーの設定情報を書き換えて、経路情報を交換する相手を限定する方法だ。当局が命令を出すISPが26しかなければ、国外のBGPサーバーに限って経路情報を交換しないように設定を変更するのに1日もあれば十分だろう。しかも、エジプト国内ではインターネットを限定的ではあるが利用できる。
4.DNSのやりとりを妨害する
www.egypt.gov.egにアクセスするには、ドメイン名をIPアドレスに変換しなければならない。インターネットで使われる名前解決システムであるDNS(Domain Name System)は、TCP/IPの4階層モデルではアプリケーション層に属するプロトコルである。DNSはAからMまで、世界に13台あるルートサーバーが.comや.jpなど、TLD(Top Level Domain)と呼ばれるドメイン名の最上位を担当するDNSサーバーを受け持ち、さらにサブドメインをそれぞれ担当するDNSサーバーが受け持つ階層構造で管理されている。
DNSのやりとりに使われているTCPとUDPのポート53を遮断したり、無意味な応答内容に書き換えたりすれば、DNSに依存するメールアドレスやURLは利用できなくなる。DNSによる名前解決ができず、IPアドレスでしかサーバーを指定できなくなるが、規制の方法としては不十分であり、インターネットからの離脱方法としてDNSのフィルタリングが使われる可能性は低い。
なお、ルートサーバーは、かつては実際にアメリカや日本などに設置された13台しかなく、エジプトのように最近になってインターネットに参加した国は、他国のルートサーバーに依存する形でインターネットを利用していた。したがって、IPアドレスのフィルタリングやBGPの切断によってDNSのパケットが他国に出て行けなくなると、DNSそのものが利用できないとも思える。しかし、最近はインターネットのトラフィック増大などに対処するために、IP Anycastと呼ばれる技術を使って、ルートサーバーを分散している。エジプトには米Internet Systems ConsortiumとVeriSignが管理するFとJのルートサーバーの複製が設置されており、国内外の通信が遮断されても、DNSは稼働し続けられる。もしエジプトがインターネットから離脱しても、国内のルートサーバーが機能していれば、DNSも機能し続け、国内サイトであれば何事もなく利用できる状態にあるだろう。ちなみに中国にはF、I、Jルートサーバーが設置されていたが、FacebookやTwitterなどのドメイン名の問い合わせに対し、でたらめなIPアドレスを応答したことがある。
■Amazon.co.jpで購入
