BGPハイジャック
偽のIPルートアナウンスによってインターネットトラフィックを迂回させる、DNSより下位のネットワーク層で起きる攻撃。
公開日 2026年6月22日著者 Namefi Team
- glossary
BGPハイジャック(Border Gateway Protocolハイジャック)は、悪意のある、あるいは誤設定された自律システム(AS)が虚偽のルーティングアナウンスをブロードキャストするネットワーク層の攻撃である。これにより、インターネット上の他のルーターが正規のIPアドレス宛てのトラフィックを攻撃者のインフラ経由で転送するよう誘導される。DNSハイジャックが名前とIPのマッピングを改ざんするのとは異なり、BGPハイジャックはルーティング層で機能するため、ドメインのDNSレコードは改変されず、DNSSECもこの攻撃に対しては無効である。トラフィックが迂回されると、攻撃者はTLS証明書の発行を傍受したり(BGPハイジャックは、HTTPベースのドメイン検証を使用する認証局から不正な証明書を取得するために悪用された事例がある)、暗号化されていないトラフィックを盗聴したり、中間者攻撃を実行したりすることが可能になる。対策としては、RPKI(Resource Public Key Infrastructure)を用いたルートオリジン検証や、予期しないASがプレフィックスをアナウンスした際に警告を発する監視サービスの活用が挙げられる。
関連キーワード
- BGPハイジャック
- ルートハイジャック
- IPプレフィックス
- ネットワークセキュリティ
- インターネットルーティング