ハクソク

世界を動かす技術を、日本語で。

ベネズエラにおけるBGP異常の詳細な分析

99日前原文(blog.cloudflare.com)

概要

  • 2026年1月2日にVenezuelaで発生したBGPルートリークの詳細分析
  • **AS8048(CANTV)**による過去の類似事例と技術的背景
  • 意図的な攻撃ではなく運用ミスの可能性が高い
  • RPKIやASPAなどの新技術による対策の必要性
  • 安全なBGP運用のための業界全体の協力の重要性

ベネズエラBGPルートリーク事件の分析

  • 2026年1月2日、Cloudflare RadarVenezuela国内の大手ISP、**CANTV(AS8048)**によるBGPルートリークを検知
  • 事件発生前後に11件のルートリークが確認され、複数のプレフィックスに影響
  • BGPルートリークとは、本来の経路スコープを超えてルーティング情報が拡散される事象
  • RFC7908で正式に定義されており、ネットワーク間のビジネス関係(カスタマー・プロバイダー、ピア・ピア)に基づく経路制御が基本
  • 正常なBGP経路は「バレーフリー」ルールに従い、プロバイダーやカスタマー間を適切に流れるべき

AS8048(CANTV)によるルートリークの具体例

  • AS8048がプロバイダーAS6762(Sparkle)から受け取った経路を、別のプロバイダーAS52320(V.tal GlobeNet)へ誤って再配布
  • 影響を受けたプレフィックスはAS21980(Dayco Telecom)が発行した200.74.224.0/20サブネット
  • AS8048AS21980はプロバイダー・カスタマー関係
  • 度重なるAS番号のプレペンディング(AS番号の多重挿入)により、経路の魅力度が下がり、意図的なMITM攻撃の可能性は低い
  • ルートリークは1月2日の15:30~17:45 UTCに複数回発生し、タイミング的にも米国によるMaduro拘束とは無関係

技術的背景と原因の考察

  • AS8048は過去2ヶ月間にも同様のルートリークを多数発生
  • 原因は輸出ポリシーの緩さや、BGPコミュニティタグ・フィルタの設定ミスが考えられる
  • RFC9234Only-to-Customer(OTC)属性の導入で防止可能な事例
  • ルートリークの多くは意図的ではなく、運用上の不備によるもの

BGP異常とその対策技術

  • BGP異常には経路誤起源(BGPハイジャック)経路パス異常の2種類が存在
  • **RPKI Route Origin Validation(ROV)**は経路誤起源対策には有効だが、経路パス異常には無力
  • **ASPA(Autonomous System Provider Authorization)**はBGPパス検証のための新標準案
    • 各ASが正当なプロバイダーリストをASPAオブジェクトとして公開
    • 不正な経路リークを自動的に拒否可能
  • PeerlockPeerlock-liteなどの運用者向け経路検証ツールも有効

安全なBGPのために必要なこと

  • BGPは信頼とビジネス関係に基づく設計のため、意図しない経路リークが歴史的に頻発
  • ASPARPKIの普及が今後のインターネット安全性向上の鍵
  • 業界全体での協力と標準化の推進が不可欠
  • シンプルな対策としてPeerlock等も積極的に導入すべき

まとめ

  • ベネズエラのBGPルートリーク事件は、技術的な運用ミスによるもので、意図的な攻撃の証拠はない
  • BGP運用の高度化新技術の導入が今後の課題
  • 安全なインターネットのため、世界的な協調と標準化の推進が必要

Hackerたちの意見

Cloudflareの深さとカバレッジはマジでヤバい。
そうだね、これは世界の他の国にとって非常に悪いことだ。特にアメリカでビジネスをしていない非アメリカ企業は、移行する時期だね。
Anycastネットワークの運営者がBGPアナウンスを行うために複数のサイトを持つのは全く普通のことだよ(これがAnycastの基本的な仕組みだからね)。これによって、こういった分析のための複数の視点が得られるんだ。他のCDN企業もそれができるけど、彼らはエンジニアリングに特化した組織をアピールすることをあまりしないだけなんだ。
彼らはたくさんのリソースを持ってるし、Cloudflareは最高だね。
半分眠いけど、投稿はいいねしたよ。パスプリペンディングに関する分析が、事故理論をしっかり裏付けてるね。もし国家の関与があってトラフィックを傍受しようとしてるなら(MITM)、最後にやることはASパスを何度もパディングすることじゃないよね。だってそれはグローバルルーティングテーブルに「こっちに来ないで、私は長い観光ルートだよ」って言ってるようなもんだから、笑。これはクラシックなファットフィンガー設定ミスかも。多分、自分の上流リンクのトラフィックエンジニアリングを操作するためのルートマップが、deny-allの条項を欠いていて広く漏れちゃったんだろうね。それでも、BGPは根本的に信頼ベースのシステムで、設定ファイルの一文字のミスがグローバルに影響を及ぼすことを思い出させてくれる。悪意によるものだと考えるのは、欠落したエクスポートフィルターで十分説明できることに対しては避けるべきだね。
> もし国家のアクターがトラフィックを傍受しようとしているなら、ASパスをパディングするなんて最後の手段だよね。これはちょっと思い上がりすぎだと思う。国家のアクターは(そして簡単に)間違った方向にパディングして、トラフィックを新しいアナウンスをしていないポップに流すことができるからね(だからCloudflareや他の「ジャーナリスティック」な努力には関係ない)。それに、太い指とディープステートの間にはたくさんのことがあるよ。広告のインプレッションをいじるために、こういうことをする非国家アクターも知ってるし。単なるルート操作から得られる有用な情報はあまりないと思うけど、もしそれが太い指のせいなら、そのエリアの技術者たちはその時に解決しようと必死だったし、12時間後には最高の仕事ができてなかっただろうね… > おそらく、自分たちの上流リンクのためにトラフィックエンジニアリングを操作するためのルートマップだろうね…とはいえ、これはあり得る話だと思う。私が見た小規模なマルチホーミングサイトのほとんど(そしていくつかの大きなサイトも!)は、SNMPとかで自動的にルーターに何かを実行させるためのアドホックなヘルスモニタリング/リバランス機能を持ってるからね。たとえアップリンクが対称的でも、他のインターネットはそうじゃないから、ルートスタッフィングが進入トラフィックを操作する最良の方法であることには変わりない。 > 悪意によるものだと考えるな、十分に説明できるのは欠落したエクスポートフィルターだ。私が直接ピアリングしない2つの大きなサイトとピアリングすると、両方とも私がアナウンスをフィルタリングせずに転送できるようにしなきゃならない。3つ目ができたら、自分の進入を操作する正当な理由ができる。BGPの問題は数え切れないほどあって、BGPとセキュリティが同じ文に共存できない理由は一つじゃない。
投稿では「漏れは常に起こる」と何度も言ってるけど、これに関する比較データはAS8048からの歴史的な漏れだけだね。ネットワーク全体でこれらの漏れがどのくらいの頻度で起こるかのデータを持ってる人いる?
BGPは自分のスキルセット外だから、分析が公平で正確だってことは分かるよ。でも、もし億ドル規模のアメリカの企業Cloudflareがアメリカの秘密サービスによるルーティングテーブルの広範な操作を検出したなら、絶対にそれを公表するとは信じられないな。
私の会社は4年間で直接漏れの影響を4、5回受けたから、結構頻繁だと思うよ。/9~を持ってるし、ルートをあまり変えないからね。
でも本当の質問は、どうやって自分のために疑いの余地を残しつつMITMになるかってことだよね?
これは私にとってすごく新しい感覚だ。BGPについて全くの無知でこの投稿を全部読んだら、アメリカの企業と政府がどれだけ深く結びついているか考えるとゾクゾクした。もちろん、これは昔からそうだったけど、今は信頼を失った。今回の「漏洩」の理由が何であれ、このメッセージに書かれた情報は受け入れない(コメントに他の報道のリンクを探してみて)。これはすごく奇妙で、同時に理にかなっている:一つの時代の終わりだ。
> アメリカの企業と政府がどれだけ深く結びついているか考えるとゾクゾクした。じゃあ、君は…中国(ファーウェイ)やEU(エリクソン、ノキア、アルカテル)の方がいいってこと?解決策を選んでみて。文句を言うのは簡単だよね。ちなみに私はEUだけど、中国よりアメリカを選ぶよ。はい。
なんか毎10年ごとに同じことを繰り返しているみたいでクレイジーだよね。新しい人たちがテクノロジーに入って、自分のことに集中して、しばらくすると「アメリカの企業と政府がどれだけ深く結びついているか」が明らかになって、彼らは信頼を失う。結局、数年間うまくいって、新しい人たちが同じように「今の政府がそんなことするはずがない」と思って業界に入ってくるけど、最終的には彼らも何が起こっているかに気づく。これを30年ごとに繰り返している感じで、私が覚えているのはそれだけだけど、他の人たちはもっと昔のことも覚えているだろうね。
国Xの企業は政府と密接に結びついてることが多いの?これが本当にニュースなのか、ちょっと疑問だな。
ある人と合法的な傍受について飲みながら話したときの顔を覚えてる。まるで目の前に開いた扉の向こうに地獄を見たかのように、彼は明らかに動揺してた。こういうインフラはどこにでもあって、ずっと前から存在してるんだよね。みんながこの問題について話してないからって、存在しないわけじゃない。例えば、2003年に日本がリアルタイムでネットワークトラフィックを監視してるのを見たときは衝撃だった。DPIみたいな技術は、今や適切なハードウェアがあれば簡単に実装できるようになった。これが言いたいことだね。
よく見ると、オレンジ色のCloudflareのロゴの色が特定の人の肌の色に合わせて微妙に調整されているのがわかるよ。
スノーデンの漏洩からこの文書をリンクする価値があるかもね:https://christopher-parsons.com/wp-content/uploads/2023/01/n... 「NSAネットワークシェーピング101」。ASINの大きな説明や、レイヤー3のシェーピングについて書かれている。2007年に書かれたもの。
このアメリカのサイトを訪れるのはなんだか気持ち悪い。
NSAですらネットワークをASNと呼ぶ間違いを犯してるのを見ると面白いね(多分、彼らの名前を逆さにしたからかも)。それって、IBANにお金を預けたって言ってるようなもので、隣人が「123 メインストリート」に住んでるとか、Hacker Newsが素晴らしいコンテンツでいっぱいの面白いDNS名だって言ってるようなもんだ。
BGPの異常との関連が見えないんだけど、この「レイヤー3のシェーピング」って基本的に「ASルーターのIPにトラフィックを送ると、そのIPのリンクを通る可能性が高い」ってことだよね。これじゃNSAが任意のトラフィックをタップできるリンクに「シェープ」するのには役立たないと思う。(これが何を意味してるのか本当にわからないけど、スライドではエクスフィルについてたくさん話してるし、ランダムなデバイスがルーターにトラフィックを送る方が疑わしいと思う。普通のトラフィックはルーターをターゲットにしないから、どこかのサーバーに当たるよりもね。でも、よくわからん。)
基本的なインターネットインフラがアメリカの企業によって管理されているのは怖いね。これを機に、他の国も変わってもっと独立するようになるかも。でも、もっと前に教訓を学ぶべきだったよね。
インターネットがアメリカの軍隊、大学、企業によってゼロから作られたことを考えると、驚くことじゃないよね。じゃあ、彼ら以外に誰がインターネットのバックボーンを管理できると思う?
BGPのインシデントについてずっと調べてるんだけど、正当な障害と騒がしいけど予想通りの挙動の違いを見極めるのが未だに謎なんだよね。~ 自分が使ってるメンタルモデルはこんな感じ:意図的な変更(メンテナンス、ポリシー更新) accidental leak(設定ミス、部分的な展開)構造的な失敗(依存関係や上流の問題)まずは3つの質問をするようにしてる:爆風半径は時間とともに広がったのか、それとも瞬時に現れたのか?経路は対称的に変わったのか、それとも一方向だけか?物事はきれいに戻ったのか、それともゆっくりと戻ってきたのか?役立った具体的なトリックは:まずASパスのプレペンディングの変更を探すこと。グローバルだけじゃなくて地域ごとの可視性を比較すること。新しい経路から「誰が得をするか」を追跡すること、たとえ短時間でも。みんなはどうアプローチしてるのか興味あるな。何が間違ってるって最初に気づく指標は何?自動アラートと手動でパターンを認識するの、どっちが好き?
ここでのコメントにはちょっと驚いてる。今のところ共通してるのは、アメリカの企業に対する一般的な恐れみたいだけど、これが記事とどう関係してるの?Cloudflareの投稿は、その点ではかなり退屈だよ。BGPの仕組みを掘り下げて、問題のベネズエラのISPに似た漏洩が一般的に見られるって提案してる。確かに彼らが間違ってるか、ここで起こったことの真実を隠してる可能性もあるけど、記事にはCloudflareがその行動に関与してるなんて一言も書いてないし、公開されてるBGPログデータを指摘してネットワーキングの標準を説明してる。みんなが注目してることに対して、俺は何を見逃してるんだろう?
多分、ほとんどの人が見出しだけ読んで(せいぜい3段落くらい)、アメリカが人々に非難されてることを長い間やってきた歴史があるからだと思う。この特定のケースがそういう行動の例ではないとしても。特に、アメリカに対する一般的な感情が、彼らの政府によるデンマークやカナダの侵略の話で苦くなってきてることを考えると。あるいは、ロシアや中国のサブアカウントかも?誰が知ってるんだろう…
あなたの意見に賛成だな - この記事がアメリカの企業や政府の関与を示唆してるのはどういうこと?もしそういう関与があった場合、BGPのどの側面がアメリカの企業にこれを実行する能力を与えるの?ほかの悪意のある行為者と比べて。BGPについてほとんど何も知らないけど、学びたいから、真剣に聞いてるんだ…
数日前に、アメリカのベネズエラ侵攻とBGPの異常の関連性を示唆する投稿があったよね。 https://loworbitsecurity.com/radar/radar16/ それに、トランプが他国を従わせるために軍事行動を取る意向を公に認めたニュースもあるしね。 https://edition.cnn.com/2026/01/06/politics/us-options-green... 個人的には、今の政権下でアメリカが攻撃を隠して事故に見せかけるなんてことはしないと思う。トランプはCIAやNSA、FBIとかが「素晴らしい攻撃」をしたって発表するだろうし、ベネズエラの弱い政府を完全にコントロールして油を救うためにね。今は「ただの設定ミスだった」って説明を信じることにするよ。今の状況を考えると、アメリカの企業の影響を恐れる人が増えるのは当然だと思う。アメリカがニュースに出ると、誰かを脅したり、協力をやめたり、以前の脅しを実行したりすることが多いからね。アメリカの企業が関わると、議論が脱線するのは避けられないし、これからもっと悪化すると思う。
一度、ロードトリップの途中でGoogleマップが高速道路から外れて、ウォルマートの駐車場を通って別の高速道路に誘導されたことがあったんだ。最初はアルゴリズムの不具合だと思ったけど、もしマクドナルドのドライブスルーを通るように誘導されていたら、何か悪意があると思ったかも。この記事は、前者のケースだと結構いい理由を示していると思うけど、時間をかけてルートの漏洩を地図で視覚化するのも面白そうだね。あまりにも奇妙な偶然が多いと、逆の考えに傾くかもしれない。