この記事は、ニフティグループ Advent Calendar 2022 15日目の記事です。
私は株式会社セシールの技術推進グループでエンジニアをしています@spicy_laichiです。
14日目の記事は @ike_chan さんの「リモートモブプロ支援ツール「mob」を使ってモブプロしてみた」でした。
最近では、モブプロを導入している会社も多いと聞きますので支援ツールの紹介は非常にありがたい記事でした。
記事の目的
従来の固定回線が主流のインターネット接続では、1契約につき1個のIPv4アドレスが払い出されるのが一般的でした。
しかし、IPv4の枯渇によるCGNの活用などが起因し1個のIPv4アドレスがシェアされることが今の時代では当たり前になってきました。
今回は、そういったIPv4アドレスのシェアが一般化したことによる問題をいくつか紹介したいと思います。
問題
送信元の特定が困難
IPv4アドレスがシェアされている場合、IPv4アドレスだけ分かっていても送信元を特定するのは難しく、ポート番号の記録も必要になっております。
現実の世界だと、マンション名だけ分かっても部屋番号がないと特定できないのと一緒ですね。
この問題を特に気にしないといけないのは口コミ等含めた電子掲示板の管理者になるか思います。
近年ネットでの誹謗中傷やプライバシー侵害が増加してきており、それに伴い発信者情報開示請求が増加している傾向があります。
電子掲示板管理者は、発信者情報開示請求に対して適切な対応を取るために日頃アクセスログをきちんと取っておくことが重要とされています。
総務省でも、2015年前後から議論されはじめIPアドレスやタイムスタンプだけではなく、ポート番号も開示対象となっています。
ちなみにRFC6302でも、送信元ポート番号の取得が推奨されていますね。
送信先元ポートは標準ログで取得できているんじゃないの?と思う方もいらっしゃるかと思いますが、例えばApacheでよく使われるCombined Log Formatなどは送信元ポートは取得しておりませんので注意が必要です。
https://httpd.apache.org/docs/2.4/ja/logs.html
最近の話ですが、プロバイダ責任制限法改正が2022年10月1日に施行されました。
https://www.soumu.go.jp/main_content/000836903.pdf
この記事をみて不安になった管理者はアクセスログの見直しを推奨します。
IPブロックが難しい
問題がある1ユーザーにしか影響が及ばないと思いIPブロックを実施してしまうことがあると思うのですが、善良な数十人または数百人のユーザーに影響が及ぶ可能性があることを考える必要あります。
提供しているサービスの性質にもよるとは思うのですが、基本的にはIPブロックは一時的なものとし短期間のブロックとしたほうがいいです。
長期的・半永久的にブロックするときは、明らかな攻撃目的のIPに限定しましょう。
IPヘッダーにホストIDの情報を追加するという議論も昔あったような気がするのですが・・・
詳しい人いましたらコメントお願いします。
IP Geolocationの精度が落ちる
Proxyなどでも同様の問題がありますが、IPを元にした位置推定は精度が落ちてしまいます。
位置推定を利用しているサービスを管理している人は、CGNに普及にともない精度が比例して落ちることを意識する必要があります。
今後
今回の記事の中で紹介した問題は、IPv4の枯渇が発端となっています。
CGNはIPv4からIPv6の過渡期を支える重要な技術ではありますが、問題が出てきてしまうので根本解決としては業界全体でIPv6への移行を進めることが大切だと思っています。
豆知識
CGNに関連して100.64.0.0/10という特殊なプライベートアドレスの話で盛り上がりました。
用途を鑑みるに普段目にすることはないとは思いますが、このIP帯もプライベートアドレスなので覚えておくといいかもです。
明日は、@udoncatさんの記事です。お楽しみに!