Border Gateway Protocol (BGP)：セキュリティ重視ガイド

ボーダーゲートウェイプロトコルとは？

BGPは、トラフィックがセキュリティコントロールに到達する前に通過するネットワークを制御しており、攻撃者はこのルーティング層を悪用して、ファイアウォールやエンドポイント検知が検知する前にデータを傍受します。NIST SP 800-189は、BGPを異なる自律システム間でルーティング情報を交換し、インターネットトラフィックの最適な経路を決定するためのルーティングプロトコルと定義しています。攻撃者は2022年8月17日、Celer Bridgeに対して標的型BGPハイジャックを実行し、約3時間にわたりトラフィックを攻撃者管理下のサーバーにリダイレクトすることで、約23万5千ドル相当の暗号資産を盗みました。

CISAはBGPを「おそらく聞いたことがないインターネットで最も重要な部分」と呼んでいます。ファイアウォールは境界を保護し、エンドポイント検知はマルウェアを阻止します。しかし、BGPはこれらのセキュリティコントロールに到達する前にトラフィックが通過するネットワークを制御しており、ほとんどの企業セキュリティ防御の下層に位置する基盤的なレイヤーです。

本質的に安全でない信頼ベースのモデル上でプロトコルを運用しています。 RFC 4272は、BGPが本質的に非セキュアなプロトコルであると述べています。このプロトコルには、アナウンスしている自律システムがIPプレフィックスを所有しているか、ルーティングパスが正当か、アナウンスが転送中に改ざんされていないかを検証する暗号的な仕組みがありません。

ボーダーゲートウェイプロトコルとサイバーセキュリティの関係

BGPハイジャックにより、攻撃者はファイアウォールによる検査前にトラフィックを傍受し、ユーザーと境界防御の間に位置取ることができます。認証失敗を監視し、ラテラルムーブメントを追跡していても、BGPハイジャックはSIEMプラットフォームがトラフィックを見る前のルーティング層で発生します。 Singularity Data LakeのようなプラットフォームにBGP監視を統合すると、ルーティング異常が認証失敗やデータ流出指標と自動的に相関されます。

BGPセキュリティが重要なのは、ルーティング層の侵害が企業の境界セキュリティコントロールをバイパスし、インターネット規模で中間者攻撃を可能にするためです。CISAは、BGPハイジャックがトラフィックを攻撃者管理下のネットワークにリダイレクトすることで企業情報を露出させ、国家レベルのスパイ活動を助長すると警告しています。攻撃者がBGPを悪用する方法を理解するには、プロトコルのコアアーキテクチャ要素を検証する必要があります。

内部BGPと外部BGP（iBGPとeBGP）

BGPは、異なる信頼モデルとセキュリティ影響を持つ2つのモードで動作します。外部BGP（eBGP）は自律システム間のルーティングを、内部BGP（iBGP）は単一AS内での経路配布を管理します。セキュリティ体制は両方の脆弱性を考慮する必要があります。

eBGPセッションは、信頼境界を越えて異なる自律システムのルーターを接続します。これらのセッションは通常、組織がISPやクラウドプロバイダー、他ネットワークとピアリングするネットワークエッジ間で実行されます。eBGPはデフォルトでTTLが1に設定されており、ピアルーターは直接接続されている必要があります。攻撃者はeBGPセッションを標的とし、これらの接続を侵害することでインターネット規模でトラフィックを傍受できます。

iBGPは、eBGPピアから学習したルーティング情報を内部ネットワーク全体に配布します。iBGPはAS内のすべてのBGPスピーカー間でフルメッシュ接続、またはスケールのためのルートリフレクターやコンフェデレーションの利用が必要です。iBGPセッションはASパス属性を変更しないため、iBGP経由で学習した経路はループ防止のために元のASパスを保持します。

これらのモード間でセキュリティ影響は異なります：

• eBGPセッションは管理境界を越えるため、厳格なフィルタリングポリシーが必要
• iBGPは信頼された内部環境を前提としており、攻撃者が内部ネットワークにアクセスした場合リスクとなる
• ルートリフレクターの設定ミスにより、悪意ある経路がAS全体に伝播する可能性がある
• iBGPセッションハイジャックにより、内部アクセスを持つ攻撃者がルーティング決定を操作可能

ネットワークセキュリティ戦略では、BGPセッションの種類を問わずすべてにMD5認証を実装すべきです。 MANRSエンタープライズプライマーは、すべてのeBGPピアリングポイントで厳格なプレフィックスフィルタリングを推奨しています。iBGPでは、ルートリフレクタークラスタの分割とAS内の不正なBGPスピーカーの監視が必要です。

ボーダーゲートウェイプロトコルのコアコンポーネント

3つのアーキテクチャ要素が、BGPの信頼ベース設計における攻撃者の悪用対象となる脆弱性を生み出しています：認証機構の欠如、ピア間の暗黙の信頼、経路検証機能の不在です。

• 自律システム（AS）は、管理下にある独立したネットワークを表します。企業ネットワーク、ISP、クラウドプロバイダーなど、それぞれが固有のAS番号を持つ自律システムとして運用されています。
• BGPピアリングセッションは、異なる自律システム間のルーター間で認証された接続を確立し、ルーティング情報を交換します。これらの接続は、プロバイダー-カスタマー、ピア-ピア、カスタマー-プロバイダーなどの関係に整理され、それぞれ異なるセキュリティ影響を持ちます。
• ルートアナウンスメントは、IPアドレスプレフィックスをピアネットワークに広告します。ASが「203.0.113.0/24への最適経路を持っている」とアナウンスすると、隣接ネットワークはルーティングテーブルを更新します。 RFC 4272は、プロトコルがピアを信頼することを前提としており、ルーティング情報を検証する仕組みがないことを確認しています。自分やピアが構文的に正しいルートアナウンスメントを送信すると、BGPはそれが正当か悪意あるものかに関係なくインターネット全体に伝播します。

これらのアーキテクチャ上の脆弱性を理解することで、攻撃者がBGPの経路選択プロセスを悪用してトラフィックをハイジャックする方法が説明できます。

ボーダーゲートウェイプロトコルの仕組み

攻撃者が正規の203.0.113.0/20アナウンスよりも細かい203.0.113.0/24プレフィックスをアナウンスすると、世界中のルーターは攻撃者の経路を優先します。これは、BGPの経路選択が認可よりも経路の細かさ（最長プレフィックス一致）を優先するアルゴリズムに従っているためです。

経路認可保護は、下流ネットワークが経路検証を実施して初めて機能します。上流プロバイダーがRoute Origin Validationを実装していない場合、有効なROAを公開していても攻撃者はトラフィックをハイジャックできます。

BGPは、ローカルプリファレンス、ASパス長、オリジンタイプ、マルチエグジットディスクリミネータなどの基準で経路を評価します。攻撃者はこれらのパラメータを操作してトラフィックをハイジャックできます。 NIST SP 800-189 Rev. 1は、BGPが暗号的な認証機構を持たずに設計されたことを確認しています。

BGPを悪用する一般的な攻撃手法

攻撃者は、BGPの信頼ベースアーキテクチャを複数の確立された手法で悪用しており、セキュリティチームはこれらを認識し防御する必要があります。 2025年6月のルートDNSサーバーハイジャック（8台同時）は、これらの手法が重要インフラにも有効であることを示しています。

• プレフィックスハイジャックは、攻撃者が他組織のIPプレフィックスをアナウンスすることで発生します。攻撃者のASが所有していないアドレス空間の経路を起源とし、経路検証を行わないネットワークがこれを受け入れます。正規所有者宛のトラフィックが攻撃者に流れ、認証情報の窃取、データ傍受、暗号資産の盗難が可能となります。
• サブプレフィックスハイジャックは、より標的型のバリアントです。攻撃者が正規所有者よりも細かいプレフィックスをアナウンスします。組織が192.0.2.0/23をアナウンスしている場合、攻撃者が192.0.2.0/24をアナウンスすると、BGPはより長いプレフィックス一致を優先するため攻撃者の経路が選択されます。 Root Server Operatorsレポートは、攻撃者がこの最長プレフィックス一致の挙動を一貫して悪用していることを確認しています。
• ASパス操作は、攻撃者がASパス属性を人為的に短縮または改変することで経路選択に影響を与える手法です。BGPは短いパスを優先するため、攻撃者はASNの付加数を減らして悪意ある経路を魅力的に見せます。一部の攻撃者は、検知回避のために正規ASNを偽のパスに挿入します。
• BGPセッションハイジャックは、BGPピアリング関係の基盤となるTCPセッションを標的とします。攻撃者がセッションにパケットを注入できれば、接続のリセット、偽経路の注入、ルーティングの不安定化が可能です。TCPシーケンス番号予測や中間者ポジショニングがこれらの攻撃を可能にします。
• ルートリークは、悪意ではなく設定ミスによって発生しますが、同様のセキュリティ影響をもたらします。ネットワークが一方のピアから学習した経路を他のピアに誤って伝播し、期待されるルーティングポリシーに違反します。 MANRSインシデント分析は、これらの設定ミスがTime Warner Cable、Rogers、Charterにどのような影響を与えたかを記録しています。

これらの手法への防御には、RPKI導入、厳格なプレフィックスフィルタリング、BGPセッション認証、ルーティング異常の継続的監視など多層的なコントロールが必要です。

ボーダーゲートウェイプロトコルの主な利点

BGPは、独立したネットワークとの連携によるインターネット規模のルーティングを提供します。 RFC 4271は、自律システムがルーティング情報を交換し、ネットワーク間の関係に基づいてインターネットトラフィックの最適経路を決定する仕組みを説明しています。

経路の冗長性は、複数のアナウンス元と分散された経路選択によって実現されます。プライマリISP接続が障害となった場合、BGPは経路メトリックやローカルポリシーに基づき、セカンダリプロバイダー経由のバックアップ経路に収束します。

ポリシーベースルーティングによるきめ細かなトラフィックエンジニアリングにより、トラフィックフローの両方向を制御できます。ASパスプリペンディングでインバウンドトラフィックを調整し、ローカルプリファレンス設定でアウトバウンドトラフィックを制御し、潜在的に敵対的なネットワーク経由のルーティングを防ぐためのフィルタリングポリシーを実装します。これらのルーティング機能には、慎重な管理が必要な重大なセキュリティトレードオフが伴います。

ボーダーゲートウェイプロトコルの課題と限界

BGPの根本的な認証ギャップにより、経路をアナウンスするASが実際にそのアドレスを所有しているかを暗号的に検証できません。このギャップが、すべてのハイジャック攻撃を可能にしています。 NIST SP 800-189r1は、BGPルーターがオリジン認証、パス検証、アナウンスの完全性を暗号的に検証せずにルーティングアナウンスを受け入れる問題を示しています。

インシデントの発生頻度は、認知度の向上にもかかわらず加速し続けています。 Internet2ルーティングセキュリティ分析は、2024年だけで研究・教育ネットワークに影響を与えた3件の重大なルーティングセキュリティインシデントを記録し、BGPの脆弱性が重要インフラを引き続き混乱させていることを示しています。

システミックリスクは、単一組織の管理範囲を超えた依存関係を生み出します。 Internet Societyポリシー分析は、BGPの分散的かつ相互接続的な性質が悪意ある攻撃者に悪用される脆弱性をもたらすと警告しています。ルーティングセキュリティは世界中の数千のネットワークに依存しており、単一のBGP設定ミスが国際的に連鎖するサプライチェーンのような依存関係を生み出します。これらのシステミックな脆弱性は、セキュリティチームが認識し防止すべき具体的な運用上の障害として現れます。

ボーダーゲートウェイプロトコルの一般的なミス

多くの組織がRPKI検証インフラを導入していますが、監視から強制への移行がなされていません。監視ダッシュボードには、認可されていないASからのプレフィックスアナウンスが表示され、RPKIバリデータはそれを無効とマークします。しかし、数か月前に設定された監視専用モードは強制に移行せず、トラフィックはハイジャックされ、ダッシュボードには問題が表示されたままです。 NRO RPKIベストプラクティスは、BGPでアナウンスしている内容と完全に一致するROAのみを作成することを要求しています。

不完全なRPKI導入は、複数の方法で障害を引き起こします：

• 計画中だが未アナウンスのプレフィックスにROAを作成する
• 最大長値を過度に許容的に設定する
• BGPアナウンスが変更された際にROAの更新を忘れる

これらのROA設定ミスは、検証インフラが存在していてもプレフィックスを脆弱にします。 NDSS Symposiumの研究は、運用者が受動的検証から能動的強制に移行できない体系的課題を特定しています。

不十分なフィルタリングポリシーは、攻撃の伝播を可能にします。 CAIDAのMANRSエコシステム分析は、RPKI無効や無効なプレフィックス長のBGPアナウンスが、文書化されたセキュリティコミットメントにもかかわらずネットワークを通じて伝播していることを発見しました。一般的なギャップには、IPv4で/24より長いプレフィックスの受け入れ、現行RIR割り当てと同期していないボゴンフィルタ、ASパスの整合性チェックの欠如などがあります。これらのフィルタリングギャップは、ルーティングインフラ全体に連鎖的な脆弱性を生み出します。

監視の不十分さにより、インシデントは被害発生後まで発見されません。プレフィックス起源ASの変更、アドレス空間に重複する新たなより細かいアナウンス、RPKI検証状態の遷移に対するアラートがなければ、ルーティングの変化は見えません。適切な インシデントレスポンスプロセスでBGPテレメトリをセキュリティプラットフォームに統合することが不可欠です。これらのミスを回避するには、BGPセキュリティの文書化されたベストプラクティスを実装する必要があります。

ボーダーゲートウェイプロトコルのベストプラクティス

リソース公開鍵基盤の導入は、 NIST SP 800-189 Revision 1に従うべきです。組織がBGPで起源とするすべてのIPプレフィックスに対してRoute Origin Authorizationを作成し、冗長性のために少なくとも2つのRPKIバリデータを展開してください。

Route Origin Validationは、NROベストプラクティスに従い段階的に実装することで最良の効果を発揮します：

• 監視モード（30～60日）：RPKI検証結果をルーティングに影響を与えず観察
• 優先度調整（60～90日）：RPKI無効経路のローカルプリファレンスを下げる
• 完全強制（90日以降）：無効なアナウンスを完全に破棄

すべてのピアリングポイントでの厳格なプレフィックスフィルタリングは、一般的な攻撃ベクトルを防ぎます。最大プレフィックス長制限は、より細かい経路ハイジャック攻撃を阻止し、同期されたボゴンフィルタは無効なアドレス空間をブロックし、ASパスフィルタリングは非現実的なパス長やプライベートASNの漏洩を防ぎます。

ルートマップポリシーは、関係タイプを明確にエンコードすべきです。すべてのBGP経路に、プロバイダー、ピア、カスタマー起源を示すコミュニティタグを付与してください。

BGP監視をセキュリティプラットフォームに統合することで、ルーティング異常に対する 脅威ハンティングワークフローが可能になります。ピアセッション状態の変化、プレフィックス起源ASの変更、RPKI検証状態の遷移に対するアラートを設定してください。

ROA設定の検証は、地域インターネットレジストリ推奨ツールを用いて継続的に実施してください。変更管理プロセスにより、可能な限りBGPアナウンスの変更前にROA更新を行います。無効経路検出時の対応手順を文書化・テストし、BGPハイジャックシナリオに備えたインシデントレスポンス計画を策定してください。これらのベストプラクティスにより、組織はルーティングセキュリティを統合セキュリティ運用に組み込む準備が整います。

BGPインシデントの実例

BGPセキュリティの失敗は、重要インフラ、金融サービス、政府運用において重大な実害をもたらしてきました。これらのインシデントは、ルーティングセキュリティがエンドポイントやネットワーク保護と同等の注意を要する理由を示しています。

• 2025年6月のルートDNSサーバーハイジャックは、最近で最も深刻なインシデントです。 Root Server Operatorsインシデントレポートによると、8台のルートDNSサーバー（a, b, c, f, g, h, j, m.root-servers.net）が19:40～21:10 UTCの間に同時にBGPハイジャックを受けました。3つのハイジャックされたプレフィックスはRPKIで有効なROAが公開されていましたが、下流ネットワークがRoute Origin Validationを実施していなかったため攻撃が成功しました。
• 2020年4月のRostelecom大規模ハイジャックは、世界中で8,000以上の経路に影響を与えました。 MANRSインシデント分析は、AS12389がより細かい経路をアナウンスし、CloudflareやAkamaiを含む200以上のCDN・クラウドプロバイダーに影響を与えたことを確認しています。分析では、これは悪意ではなくBGPオプティマイザーの設定ミスによるものとされています。
• 2020年9月のTelstraインシデントでは、AS1221がほぼ500のプレフィックスを一斉にアナウンスする大規模ハイジャックが発生しました。 MANRSドキュメントは、このインシデントが50か国266の自律システムに影響を与え、単一の設定ミスが世界的に連鎖することを示しています。
• 2022年8月のCeler Bridge攻撃は、暗号資産ユーザーを標的としました。攻撃者は約23万5千ドル相当の暗号資産を、約3時間にわたり攻撃者管理下のサーバーにトラフィックをリダイレクトすることで盗みました。

これらのインシデントには共通点があります：BGPの信頼モデルを悪用し、何らかのセキュリティ対策を実施していた組織にも影響を与え、防御側が対応する前に被害が発生しました。このパターンは、積極的な脅威検知と継続的なBGP監視が企業セキュリティの不可欠な要素である理由を強調しています。

重要なポイント

完全に制御できないインフラでルーティング層の攻撃に対抗しています。BGPセキュリティは、世界中の数千のネットワークが検証コントロールを実装することに依存しています。まず自分で制御できることから始めましょう：RPKI/ROVを強制モードで導入し、すべてのピアリングポイントでプレフィックスを厳格にフィルタリングし、BGP監視をSOCワークフローに統合してください。個別の実装と集団的な強制の間のギャップこそが、攻撃者の活動領域です。