IP スプーフィング(IP アドレス偽装)とは
ジェフリー・エドワーズ
|サイバー犯罪 | 2023年2月15日
小規模なメールによる詐欺行為から、企業全体を巻き込む大規模なデータ侵害まで、フラウドによる脅威は拡大しています。
最近では、攻撃者が IP スプーフィングを使用して身元を隠し、信頼できる IP アドレスであるであるように偽装するため、疑わしい活動を検出することは、さらに困難になってきています。
当記事では、IP スプーフィングについて知っておくべきこと、検知方法や対策について説明します。
よくある質問
Q: IP スプーフィングとは?
A: IP とは、インターネットプロトコルの略です。IP スプーフィングとは、送信元の IP アドレスを偽装してパケットを送信、あるいは、偽装して攻撃を行うといったことを言います。
Q: IP スプーフィングの目的は?
A: IP スプーフィングを使用すると、以下のようなことが可能になります。
- 攻撃元を隠ぺいし、クラッカーと攻撃を結びつけることの阻止
- IPアドレスをブロックするセキュリティソフトウェア、ハードウェア、サービスなどのセキュリティ対策の回避
- 中間者攻撃の実施
Q: IP スプーフィングの仕組みは?
A: IP スプーフィングでは、IP パケットの送信元アドレスを変更することで、特定の IP アドレスからのトラフィックをブロックまたは許可するセキュリティ対策を回避することができます。その後、パケットは中間ルーターによって転送され、中間ルーターは宛先アドレスに基づいて宛先デバイスへのパスを決定します。
Q: IP スプーフィングの代表的な2種類とは?
A: IP スプーフィングには、送信元 IP スプーフィングと MAC(Media Access Control)アドレススプーフィングという2種類があります。MAC アドレススプーフィングは機器のアドレスを変更するもので、送信元 IP スプーフィングは IP パケットの送信元アドレスを変更するものです。
Q: IP スプーフィングを合法的な目的で使用することは可能?
A: IP スプーフィングは悪意のある目的で使用されることが多いですが、負荷分散やネットワークテストなど、正当な目的で使用されることもあります。
Q: IP スプーフィング攻撃から身を守る方法とは?
A: 多要素認証の導入、ファイアウォールによる疑わしいトラフィックのブロック、ソフトウェアやデバイスを最新のセキュリティパッチで更新しておくことなどが挙げられます。また、すべてのアカウントに強力で推測されにくいパスワードを使用し、不明な送信元からのメールを開いたりリンクをクリックしたりする際には、慎重になる必要があります。
IP スプーフィング(IP アドレス偽装)とは
IP スプーフィングとは、デバイスが送信元 IP アドレスを偽装して、インターネットプロトコル(IP)パケットを送信することです。IP スプーフィング攻撃では、偽装された送信元アドレスが他のコンピュータシステムになりすますため、攻撃の発信元を特定することが困難になります。このため、機密データのマイニング、悪意ある目的でのコンピューターの乗っ取り、DDoS 攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)などに使用されます。
攻撃者が IP スプーフィングを行う理由には、以下のようなものがあります。
- 真の攻撃元の隠ぺい:トラフィックの送信元 IP アドレスを偽装することで、攻撃元の追跡が困難になり、犯罪の摘発がされにくくなります。
- セキュリティ対策の回避:セキュリティシステムの中には、特定の IP アドレスからのトラフィックをブロックするブラックリストや、アクセスを許可するホワイトリストがあります。攻撃者は、IP スプーフィングを使用して、信頼できる IP アドレスであることを偽装し、このようなセキュリティ対策を回避しようとします。
- 中間者(MitM、Man-in-the-Middle)攻撃の実施:攻撃者は、2つのデバイス間のトラフィックを傍受し、必要に応じてトラフィックを表示、変更、またはブロックすることができます。
しかし、IP スプーフィングは悪意のある行為に使われることがあるものの、負荷分散やネットワークテストのような合法的な目的にも使われることがあることは留意しておきましょう。
IP スプーフィングの仕組み
インターネットが処理するすべての情報は、送信元アドレスを使った IP の「パケット」と、送信先アドレスを使った IP の「パケット」にエンコードされています。送信先パケットはインターネットにどこに送信するか宛先を伝え、送信元パケットは送り先にどこからの情報かを伝えます。このプロセスによって、送信先パケットはユーザーを正しいコンピュータにルーティングすることができるのです。
送信先パケットは、トランジットルーターや中継ルーターとも呼ばれる中間ルーターを通過します。この中間ルーターは、送信元と送信先をつなぐものですが、中間ルーターは通常、転送するトラフィックの送信元アドレスを確認しません。代わりに、パケットの送信先アドレスを使用して、送信先デバイスまでの経路を決定します。IP スプーフィングは、これを悪用し、偽の送信元アドレスを使用します。これは、偽の返信先住所を使って郵便を送るのと同じです。
攻撃者は送信元アドレスを変えているだけなので、被害者はパケット全体を信頼できる送信元と見なし、受け入れてしまうのです。IP アドレス認証に依存するネットワークシステムでは、たった一度のデータ侵害により不正アクセスが可能になってしまう場合があります。これが、近年インターネット上で多段階認証システムが一般的になりつつある理由のひとつです。
IP スプーフィングの種類
攻撃の種類は、攻撃者の動機とターゲットによって異なります。以下は、最も一般的な IP スプーフィングの2種類で、主な違いは、変更される識別子のタイプ(送信元もしくはデバイス)です。
送信元 IP スプーフィング
送信元 IP スプーフィングでは、攻撃者は IP 送信元パケットのアドレスを変更し、真の送信元とは異なる IP アドレスから送信されたように見せかけます。この技術を使用することにより、特定の IP アドレスからのトラフィックをブロックまたは許可するセキュリティ対策を回避することができます。
MAC アドレススプーフィング
すべてのネットワーク機器は、MAC(Media Access Control)アドレスを持っており、このアドレスによってネットワーク上で識別されます。MAC アドレススプーフィングでは、攻撃者が機器のアドレスを変更し、本当の MAC アドレスとは異なる MAC アドレスであるかのように見せかけます。
IP スプーフィングを悪用したサイバー攻撃手法
IP スプーフィングの複雑性は、さまざまな種類の脅威を引き起こす原因となっており、コンピュータネットワークに対するさまざまな攻撃に使用されています。
DDoS 攻撃(Distributed Denial of Service attack、
分散型サービス拒否攻撃)
DDoS 攻撃(Distributed Denial of Service attack、分散型サービス拒否攻撃)は、多くの場合、送信元 IP スプーフィングにより、大量のトラフィックをターゲットネットワークに送信し、負荷をかけることで、Web サイトをダウンさせようとします。これは、トラフィックが本当の送信元とは異なる IP アドレスから来ているように見えるため、攻撃の本当の発信元を追跡することを困難にします。DDoS 攻撃は、大量のトラフィックを使用し、ネットワーク全体のインターネットの混乱など、深刻な被害をもたらします。
中間者攻撃
中間者(MitM、Man-in-the Middle)攻撃は、バケツリレー攻撃とも呼ばれ、攻撃者が送信側と受信側の2つのデバイスを傍受し、受信側に気付かれないようにトラフィックを表示、変更、ブロックすることで、情報の窃取、偽サイトへの誘導などを行います。中間者攻撃により盗まれた機密情報は時間とともに蓄積され、ハッカーはこの情報を悪用したり、販売したりすることができます。中間者攻撃には、送信元 IP スプーフィングと MAC アドレススプーフィングの両方が使用されることがあります。
ボットネットデバイス(ゾンビマシン)の隠ぺい
IP スプーフィングは、感染したデバイスのネットワーク(ボットネット、別名ゾンビクラスタ)の身元を隠ぺいするためにも利用されます。ボットネットとは、攻撃者の指令や遠隔操作などを受け入れるよう、コンピュータウイルスなどに感染させた多数のコンピュータを組織したネットワークで、これを隠ぺいした場合、クラッカーは感染したデバイスの内の1台から、感染したデバイスのネットワークを制御し、そのデバイスがクラッカーに代わって悪意のある活動を実行します。このため、攻撃元を特定し、ボットネットの全体像を把握することが難しくなっています。ボットネット感染デバイスの隠ぺいは、単一のソースから大量のトラフィックを生成できるため、DDoS 攻撃と組み合わせて使用されることが多いです。ボットネットの存在や活動を隠すためには、IP スプーフィングや MAC スプーフィングのいずれか、あるいは両方が使用されます。
アプリケーション層攻撃
アプリケーション層攻撃では、パケットのヘッダ内の送信元 IP アドレスが改ざん、送信されます。この攻撃は、アプリケーションの操作やサービス提供(HTTP、HTTPS、FTP、SMTPなど)を目的とした、OSI(Open Systems Interconnection)モデルのアプリケーション層をターゲットにします。ヘッダの IP アドレスが改ざんされると、IP アドレスのフィルタリングに基づくセキュリティ対策を回避することができます。アプリケーション層攻撃は、アプリケーションレベルのプロトコルやサービスの脆弱性を突く中間者攻撃の一部として使用されることもあります。また「from」フィールドを改ざんして、信頼できる送信者に見せかけるメールスプーフィング攻撃にもよく使われます。
IP スプーフィングを検知する方法
IP スプーフィングを検知することは困難であり、組織のネットワーク環境を保護する上で大きな脅威となります。トラフィックを監視・分析し、問題が発生したときに警告を発するツールを導入することで、こうした脅威に対処しましょう。以下に一般的なツールをいくつか紹介します。
パケットフィルタリングツール
パケットフィルタリングとは、受信または送信パケットのヘッダを検査し、一連のルールまたは基準に基づいて各パケットを許可またはブロックする技術のことです。IP スプーフィングに対しては、あらかじめ設定された発信元と一致しない発信元 IP アドレスをブロックするように設定することができます。
イングレスフィルタリング/エグレスフィルタリング
パケットフィルタリングでは、各パケットをトラフィックの方向に基づいて検査します。
- イングレス(ingress)フィルタリング:パケットがネットワーク機器へ入力(input)されるタイミングで、受信するパケットをすべて検査します。
- エグレス(egress)フィルタリング:パケットがネットワーク機器から出力(output)されるタイミングで、送信されるパケットをすべて検査します。
ネットワーク監視ツール
ネットワーク監視ツールは、トラフィックを継続的に追跡し、潜在的なセキュリティ脅威や異常な活動を検知・特定します。ネットワーク監視ツールは、IP スプーフィング攻撃の兆候となる疑わしいトラフィックを検知し、警告を発するため、IP スプーフィング攻撃の防止に効果的です。特定のネットワークやデバイスからのトラフィックが突然増加した場合、IP スプーフィング攻撃が行われている可能性があります。
ネットワーク監視ツールが検出し警告できる脅威は、主に以下の2点です。
- ネットワークリソースへの不正アクセス
- 予期しないネットワークの中断または停止
IP スプーフィングへの対策
IP スプーフィングの発見は困難ですが、コンピュータや組織のネットワークへの攻撃を防ぐために、手段を講じることは可能です。以下は、IP スプーフィングから組織を保護するために推奨されるセキュリティ対策の例です。
- ファイアウォール:ファイアウォールを適切に設定することで、偽装された IP アドレスの受信パケットをブロックできる可能性があります。
- IP レベルの暗号化プロトコルの使用:IP アドレスを暗号化すること、クラッカーはまずその暗号を解読する必要があるため、スプーフィングが難しくなります。
- 安全なプロトコルの使用:SSL(Secure Sockets Layer)や TLS(Transport Layer Security)などのプロトコルは、送信者の身元を認証し、IP スプーフィングを防止することができます。
- システムのアップデートとパッチの適用:ソフトウェアやハードウェアを常に最新の状態に保つことで、脆弱性を改善し、IP 攻撃を防止することができます。
- ネットワークの細分化:ネットワークを細分化すると、機密情報にアクセスするために、複数のセグメントを侵害する必要があるため、IP スプーフィングによる攻撃の可能性を低下させることができます。
- 送信元 IP アドレスのフィルタリング:送信元 IP アドレスに基づいて、信頼できる送信元からのトラフィックのみを受け入れるようにデバイスを設定することで、スプーフィングされた IP アドレスによるネットワーク侵入を防止することができます。
- ボット対策ソフトウェアの導入:ボット対策ソフトウェアは、ネットワークトラフィックにおける IP スプーフィングなどの疑わしい活動を監視し、ネットワーク管理者に警告したり、トラフィックをブロックしたりすることができます。
Go-to-Market セキュリティの導入
上記の対策をすべて実施することは非常に手間がかかります。不正トラフィックを手動で軽減することはある程度可能ですが、外部プロキシのブロックリストの作成や、不正トラフィック特定のためのコード解析は、それだけでも多大な時間と労力が費やされます。
セキュリティに真剣に取り組む企業にとって、Go-to-Market セキュリティ向けプラットフォームは、不正トラフィックを自動的に検出してブロックし、マーケティングのインサイトを高める上で効果的です。
CHEQ は、何千ものセキュリティチェックを活用して、Web サイトにおけるトラフィックをリアルタイムで評価し、ユーザーが正当か、疑わしいか、不正かを判断し、当該ユーザーのブロックやリダイレクトなど適切な対応を行います。顧客獲得単価を引き下げ、Go-to-Market 施策を保護する CHEQ の無料診断をお試しください。
元の記事:What is IP Spoofing?