福岡大学はコンピューターが時刻合わせに使う「公開NTPサービス」を廃止する。草分けとして26年間にわたり世界に向けて無償公開してきた。だがインターネットを介して世界中から時刻合わせのアクセスが殺到し、学内ネットワークがインターネットにアクセスできないトラブルに4回見舞われた。同サービスを利用する設定の機器も多く、海外技術者とも協力して廃止を目指す。

 福岡大学は「近い将来」(福岡大学のWebサイト)、公開NTP(ネットワーク・タイム・プロトコル)サービスを取りやめる。パソコンやサーバー、ネットワーク機器からの問い合わせに、「正確な時刻」を無料で返すサービスだ。

 あらゆるコンピューターがネットでつながる時代、公開NTPサービスの重要性は高まるばかりだ。コンピューター間でデータを処理した時刻がずれれば全体として正常な運用をしにくくなるからだ。

 実は福岡大は今から26年前の1993年10月に日本で最初に公開NTPサービスの運用を始めてインターネットの発展に貢献してきた開拓者でもある。その後、公開NTPサービスを運用する組織は情報通信研究機構などにも広がった。

 最古参の福岡大としては「大学における公開NTPサービスとしては一定の役目を終えた」としているが、それ以外の理由もある。コストだ。

 世界中のコンピューターから来る問い合わせのアクセスが学内ネットワークに4回障害を引き起こすほど膨れ上がった。5年後にはさらに2倍まで増える見通しで、ネットワークの維持・拡張コストが限界に来ていた。取材と公開資料から経緯と原因を追う。

研究室での運用からスタート

 福岡大の公開NTPサービスは、工学部の教授が海外から購入したGPS(全地球測位システム)受信機を使って研究室で運用し始めたNTPサービスがきっかけだった。1992年ごろに学内にあった大型計算機の起動時に必要となる、正確な時刻を自動的に入力できるようにするために、SunOSが稼働するワークステーション向けにGPS受信機の接続ドライバーを自前で開発した。

 日本でまだ公開NTPサービスがなかったため、1993年10月からインターネット向けにも問い合わせ用として2個のIPアドレスを公開した。当時としては先進的な取り組みだった。

 公開NTPサービスを支えるNTPサーバーは学内ネットワークの末端につなぎ、工学部のある研究室が運用した。アクセス件数は2005年1月に1秒当たり約900件まで増えた。帯域は毎秒2メガビットほどだった。

停電でDoS攻撃と似た状況に

 インターネットの拡大に伴い、公開NTPサービスへのアクセスもさらに増えていった。2012年からアクセス増が原因で学内からインターネットにつなげなくなるネットワーク障害が立て続けに4回発生した。例えば2014年2月の障害時、大学間をつなぐ学術情報ネットワーク(SINET)からのアクセスだけでトラフィックは毎秒約900メガビットに跳ね上がっていた。

 福岡大で学内ネットワークの保守などを担当する情報基盤センター研究開発室の藤村丞准教授らが原因究明に当たった。すると全て同じ原因で障害が発生したと分かった。

 その原因は公開NTPサービスを運用する研究室が入る建物の計画停電だった。研究室の教授はNTPサーバーの電源を落としていた。

 停電から復旧して公開NTPサービスを再開すると、学内ネットワークがDoS(サービス拒否)攻撃に遭ったのと同じ状態となった。DoS攻撃はWebサービスなどに大量のリクエストや巨大なデータを送りつけてサービスを利用不能にする攻撃手法である。

 建物の停電中、福岡大の公開NTPサービスを時刻同期先に指定していた多くのパソコンやサーバー、ネットワーク機器は福岡大の公開NTPサービスから問い合わせの返答がないため、問い合わせをリトライし続けた。

 公開NTPサービスを再開すると、リトライの問い合わせが押し寄せ、学内ネットワークで使うファイアウオールの有効セッション数上限の100万セッションに達した。これにより、学内のパソコンなどからセッションを張れず、インターネットに接続できなくなったのだ。

 公開NTPサービスを止めればまた大量のリトライが押し寄せてDoS攻撃のような状態になってしまう。事態を打開するため、藤村准教授らは幾つか対策を試みたがうまくいかず、「にっちもさっちもいかない状態」(藤村准教授)だったという。

 例えば学内ネットワーク最上位のルーターで問い合わせをフィルタリングしようとしたらルーターが停止した。ならばと優先度の高いパケットを優先的に伝送するQoS(クオリティー・オブ・サービス)を使ってアクセスを制御しようとしたが、どう設定しても大量に押し寄せる問い合わせをさばき切れなかった。

 失敗が続くなか、ようやく対策が見えてきた。1件ずつ着実に問い合わせを返していくという基本動作がそれだった。ファイアウオールの有効セッションが枯渇しない程度の問い合わせになるようにQoSの帯域を絞って、ようやく通常のトラフィックに戻った。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら