BGPとは何か、その障害がFacebookを止めた理由

2021年10月4日、FacebookとFacebookが所有する主要なサービスが約6時間にわたりダウンしました。このソーシャルメディアの「ブラックアウト」は、Facebookのドメインネームシステム（DNS）レコードが利用できなくなった直後の東部時間（ET）11時40分に始まりました。

このインシデントの 分析は Cloudflareからの詳細によれば、FacebookのDNS名の解決が突然停止し、このソーシャルメディア巨人のインフラのIPが到達不能になりました。しかし、DNSの問題は単に結果であり、問題の根本原因ではないようです。最初の障害は、Facebookウェブリソースへのボーダーゲートウェイプロトコル（BGP）ルーティングで発生しました。

BGPとは何ですか？

ボーダーゲートウェイプロトコル（BGP）は、インターネット上の自律システム（AS）間でルーティング情報を交換する標準化されたメカニズムです。個別のネットワークがグローバルなウェブを形成するためにはお互いに接続する必要がありますが、その存在を宣伝するためにルーティング情報を通信します。このデータはさらにルーティング情報ベース（RIB）に保存されます。

RIBは、さまざまな目的地に道を拓くために存在する巨大で絶えず更新される地図として機能します。BGPはRIBデータベースにアクセスし、データを届けるための全ての可能なルートを一覧表示し、最も効率的なものを選びます。BGPが失敗した場合、1つのネットワーク（この場合はFacebook）は自らの存在を宣伝できなくなり、他のネットワークはそれに到達できなくなります。その結果、影響を受けたネットワークはインターネットから切り離されたように見えます。

なぜFacebookがダウンしていたのか

説明する ブログ記事によれば、 Facebookから、問題は大規模な構成変更後に発生しました。それは、提供業者の全てのデータセンターをリンクするためのFacebookのグローバルバックボーンネットワーク容量を管理するシステムに影響を与えました。さらに、この構成変更はFacebookのルートを撤回する結果となり、このソーシャルメディア巨人のサーバーがオフラインになりました。

これらの構成変更とルートの撤回により、Facebookは文字通りインターネットから自己を切り離し、その人気のあるサービスInstagram、WhatsApp、およびOculus VRも同様でした。インターネットから消えただけでなく、Facebookは 社員を残しました オフィスビルに入る能力がないまま、スマートカードも停電の影響を受けました。さらに、Facebookの内部作業プラットフォームであるWorkplaceも ブロックされました社員が日常業務を進める能力がなくなりました。

問題は 不適切な構成の更新 によってFacebookのネットワークエンジニアによって発生したように見えたため、ソリューションもルーターにローカルでアクセスして問題を修正した技術者から来ました。停電が始まってから6時間後、Facebookのリソースが復元され、混乱したユーザーはソーシャルメディアアカウントにアクセスできるようになりました。2021年10月8日現在、Facebookのシステムは完全に機能しています。

BGP失敗の検知

わずかなBGPルーティングの問題であってもインフラ内で大きな問題を引き起こす可能性があるため、その構成に関連する変更を追跡することは重要です。BGPの停止や障害を監視するために、 Massimo Candela、NTTグローバルネットワークのシニアソフトウェアエンジニアが開発した専用のツールである BGPalerterがあります。これは自己構成ツールであり、さまざまなソースからのBGPデータストリームの分析をリアルタイムで行います。それは可視性の喪失、RPKI無効なアナウンス、ハイジャックなどのリアルタイム検知を強化します。

BGP停止追跡をさらに容易にするため、SOC Prime TeamはBGPalerterによって生成される高および重要度のイベントを検知するSigmaルールをリリースしました。このルールは、登録後、SOC Primeのプラットフォームから無料でダウンロードできます。

BGP疑わしい変更 (BGPalerterツール経由)

この検出は、以下のSIEM SECURITY ANALYTICSプラットフォームの翻訳が含まれています：Azure Sentinel、ELK Stack、Chronicle Security、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB。

このルールは MITRE ATT&CK 方法論にマッピングされ、インパクト戦術およびネットワークサービス拒否技術（t1498）を扱っています。

SOC Primeプラットフォームに登録して脅威の検出をより簡単に、迅速に、シンプルに行いましょう。20以上のSIEM＆XDR技術をサポートし、最新の脅威を瞬時に追跡し、自動的に脅威調査を実施し、20,000人以上のセキュリティ専門家のコミュニティからフィードバックと分析を受け取り、セキュリティオペレーションを強化します。独自の検出コンテンツを作成する意欲がある方は、当社のThreat Bountyプログラムに参加し、Threat Detection MarketplaceリポジトリでSigmaおよびYaraルールを共有し、個々の貢献に対する継続的な報酬を獲得してください！脅威ハンティングスキルを向上させたいですか？学んでください。 Sigmaルールとは何か と、初心者向けガイドでの作成開始方法。

プラットフォームに移動 Threat Bountyに参加