はじめに
デフォルト設定でフレッツを使っている皆さん、あなたのお宅は丸裸です。
こんな設定をデフォルトにしたNTTは狂っているとしか言いようがありません。
本気で信じられない。最初は冗談かと思ったさ。
本日、会社でIPv6の疎通試験をしていて発見した事実をありのまま話します。
NASAのこんな話は、対岸の火事ではなく、知識不足、環境、業者あたりがそろうと簡単に起きる話です。
https://www.gizmodo.jp/2019/06/nasa-hacker-raspberry-pi.html
1.フレッツ・v6オプションはデフォルトで有効
NTT東西、フレッツ・v6オプションの工事費を変更、東日本はデフォルトで提供
2012/5/29以降にNTT東日本でフレッツ光の工事(新規開通・移転・品目変更)をした皆さん、あなたのお宅はフレッツ・v6オプションが有効になっております。
「フレッツ・v6オプション」の提供形態の変更について
2021/5/11以降にNTT西日本でフレッツ光の工事(新規開通・移転・品目変更)をした皆さんも、フレッツ・v6オプションが有効になっております。
さらに、ISP側が勝手にフレッツ・v6オプションを有効にしている例もあるらしい。
勝手にフレッツ・v6オプション付加サービス申し込み内容のご案内がNTTから届いた件について
2.HGWのデフォルト設定は折り返し通信を許可する設定
以下は我が家に設置されているPR-400KIの設定画面だか、赤字で色々書いてあり重要な設定項目であることがわかる。
デフォルトの設定内容は以下の通りであり、文面からは網内折り返し通信が有効であることが記載されている。
| IPv6セキュリティのレベル | デフォルト設定値 |
|---|---|
| IPv6ファイアウォール機能 | 有効 |
| IPv6セキュリティのレベル | 標準 |
1と2からわかる標準的な設定値の意味とは
総合すると様々な理由はあるがフレッツ・v6オプションはいつの間にやら有効になっており、HGWの設定は触っていない人は、IPv6網内折り返し通信が有効になっているということである。
網内での折り返しサービスとしては他にはフレッツ・VPN ワイドがあるが、IPが振られ直接通信できるのは、ルーターのWANポートまでであった。まあ、IPv4なんで当然NATが入ってくるのでね。
![01_flets_next_case4[1].jpg](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.amazonaws.com%2F0%2F253664%2F7b488d7a-d9d9-e3e6-caa9-ed5262066ec0.jpeg?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=a32cc724bb134057e16a9a168df3beeb)
このため、IPv6網内折り返しもHGWのWANポートまでで、ローカル側はHGWのIPv6パケットフィルタ設定で許可しないとだめだと思っていた。
ほんとのところはどうなのよ
今日何気に実験してみたのだ。フィルタで止まっているだろうなと思いながらも・・・。
許可していないSSHが通じてしまったorz。
つまり、デフォルト設定ではIPv6アドレスとポート番号さえわかれば、フレッツ網内からは、アクセスし放題であることがわかった。
もちろん、立ち上げたばかりのラズパイをSSHで乗っ取られるくらいならかわいいもんだ。(十分問題であるが・・・。)
どうもau,softbank,nuroどの会社でも、自社回線内折返しならFWは全通過担っている設定がHGWのデフォルト設定になっている模様だ。(なにか示し合わせでもしたのか?)
示し合わせが行われていても全く驚きはしないのだが・・・。ケータイ3社の振る舞いを見てれば全く違和感なしですな。
ちなみに、このデフォルト設定のまま使っていたらどうなるか検証、考察してみたので、こちらの記事もご覧頂きたい。
https://qiita.com/maccadoo/items/e4ee3514e8d907487e12
https://qiita.com/maccadoo/items/56e2ad31cc6627ad7dfe
という訳で対策
今すぐ、トップページ > 詳細設定 > セキュリティ設定 > IPv6パケットフィルタ設定(IPoE) > IPv6セキュリティのレベルを高度に変更するべし。
HGWのIPv6パケットフィルタ設定(IPoE)の仕様はIPoEの設計のミスマッチと相まって本当に使えない。
IPoEの仕様は半固定IPのため、時たまプレフィックスが書き換わるという仕様である。プレフィクスとはIPv6アドレス128bitの前半64bitのことを示す。例をあげると
2000:1:2:3:4:5:6:7:a0:b0:c0:d0:e0:f0:0:1
が、以下のように書き換わる。
2000:9:8:7:6:5:4:3:a0:b0:c0:d0:e0:f0:0:1
IPv6パケットフィルタ設定(IPoE)の仕様は、このアドレスの前半何bitまでが一致するかでアドレス範囲を指定する仕様のため、アドレスが書き換わるとアドレスの指定が外れてしまう。結果的に、書き換わる前に通信できていたものが出来なくなり、遮断していたものがスルーしてしまうという状態になる。
このリスクを考えると、全遮断か、全開放しか選択肢がなくなり、個別設定であるIPv6パケットフィルタ設定(IPoE)は全く使えないことがわかる。
NTTの技術がしょぼくてIPv6パケットフィルタ設定(IPoE)の仕様がまともに作れなかったのはしょうがないとしても、それをフィルタ全開放にしてユーザーに負担を押し付けるのはどういうコンプライアンスなのか、NTTにはぜひ説明して欲しいものである。
まあ、筆者は自称元NTTの子会社のユージーンとか言う会社の社長だったといっている人間にコンサルを依頼したことがあるが、彼の提案してきた事業は18歳以下の子供に向け、通常は標準搭載されているコンテンツフィルタを外したSIMを名義を差し替えて代理販売することで大儲けしよというものであった。
・・・・・・・・・。
それコンプライアンス違反どころか違法ですwwww。
彼いわく、これくらいのことNTTの人間はみんなやっているよとのことであったので、それに比べるとHGWのフィルタなんぞこんな仕様でも、まあしょうがないかと思うのですが、ふつうは怒るよね。
ついでに他の人と裁判沙汰にまでなっていた模様。この人どこでも人を脅しているのね。さっさと罰金払って業界から退場願います。
https://fox.5ch.net/test/read.cgi/poverty/1429773870/
唯一の救える点は、折り返しが有効であろうが、IPv6パケットフィルタが無効であろうが、HGWのhttpプロトコルには外部からアクセスできないことくらいであろうか。しかし、pingは返ってくるので何が開いているのか信用できないんだよな。