そういえば、なにげなくv6を使っているのだけど、これはファイアウォールを入れない限りはパブリックなネットワークだ。なので、最低限のファイアウォーリングは必須だろうと思う。
最近、ISPでv6サービスをするところも増えているが、一般向けの場合はトンネル接続が主体。各社、接続用のソフトを提供しているが、既存のルータやファイアウォールでこれに対応できるものは見当たらない。v4的にセキュアなネットワークの中で、こうしたv6トンネルソフトを安易に使うと危険だ。当然、PC側のファイアウォールは「公共の場所」を前提にしなければならないのだけど、ネットワーク接続ごとにモードを変えられないWindows標準ファイアウォールの場合は、v4側にも制約が出てしまう。だが、これはいたしかたないだろう。万一、v6側からやられてしまうとそれがバックドアになって、v4側も危険にさらされるからだ。
さらに、配布されている接続ソフトでは、ルーターモードをサポートして、ネットワーク内にルータ広告を流せるものがある。私も使っているのだけど、VISTA以降のWindowsやオープン系のOSでもv6サポートは一般的になっているから、特にWindowsの場合は何もしなくてもルータからプリフィックスを取得してEUI64でインターフェイスを構成してしまう。つまり、内部ネットワークがv4ではセキュアでも、v6ではインターネットの延長としてパブリックなネットワークになってしまうわけだ。
意識的に使っているのならば、ファイアウォール設定を確実に行っておくことで防御はできるが、問題は、誰かがv4ネットワーク内で、野良ルータを上げた場合だ。最近のWindowsの場合はこれはかなり危険である。新しいネットワークとして認識して、なんらかのリアクションが必要にはなるが、v6などに縁がない一般の人たちには何がなんだかわからないだろうから、そのまま接続を許可してしまう可能性が高いのだ。
特に、モバイル用のPCなどでは、必要がない限り、IPv6は使わない設定にしておいたほうがいい。公共のネットワークに誰かが悪意をもってルータ広告を流す事態を考えればかなり危険だからだ。これは案外簡単にできる。特に企業などの場合は、これを徹底しておいたほうがいいだろうと思う。
あとは、今後家電系がv6をサポートしたきた場合に何が起きるかだ。独自に閉鎖的な形でトンネルしてくれるならまだいいのだけど、オープンソースのコードをそのまま使って実装したりすると、ルータ広告に反応してしまう可能性もある。宅内のv6環境については、ISP,PC・OSベンダ、家電メーカーなどが早期に標準的な形を決めなければならないだろうと思う。決して個々の業界でクローズして動いていい話ではないので。
コメントする