サイバー攻撃にはさまざまなものがあり、年々悪質化かつ巧妙化しています。その中に、「なりすまし」と呼ばれるものがあります。これは、他人のアカウントなどを使って、自分とは違う他人になりすまして、犯罪行為をはたらくといったものです。
IPアドレスを偽装する「IPスプーフィング」もある意味で、なりすましの一種です。別のIPアドレスに偽装することでさまざまな悪事を働くIPスプーフィングの実態に迫ります。
IPスプーフィングとは
自分のIPアドレスを偽装、あるいは、偽装して攻撃を行うといったことを「IPスプーフィング」と言います。IPアドレスを偽装することで、たとえば以下のようなことを行います。
- WebサイトなどでのIPアドレス制限を突破して攻撃を行う
- 他人のIPアドレスを使って別人になりすます
- サイバー攻撃を行う際に、攻撃元の特定を困難になる
このように、別のIPアドレスに偽装することで、さまざまな犯罪行為に使われています。
IPスプーフィングの仕組み
別のIPアドレスに偽装するIPスプーフィングは、どういった仕組みになっているのでしょうか。IPスプーフィングでは、具体的に以下のような流れでIPアドレスの偽装が行われます。
- 通信パケットのヘッダー部分にある送信元IPアドレスを書き換える
- 書き換えた偽装パケットで相手先に接続を試みる
この結果、相手先のコンピュータには、送信元のIPアドレスは偽装された偽物が送られることになってしまいます。
IPアドレスとは
IPスプーフィングとは、IPアドレスを偽装するものですが、そもそもIPアドレスとはどういったものなのでしょうか。
手紙は相手の住所が分からなければ届きません。ネットワークでの通信もこれと同じで、相手先が特定できなければやりとりはできません。IPアドレスは、ネットワーク上の住所のようなもので、ネットワーク上の機器を識別するためのものです。ネットワーク上の機器には、すべて相手と識別するためのIPアドレスが付けられています。
スプーフィング攻撃とは
英語の「Spoof」には、日本語で「だます」「かつぐ」などといった意味があります。スプーフィングとは、相手に対して真実でないことを信じ込ませて騙してしまうという行為を指しています。
サイバーセキュリティにおけるスプーフィング攻撃も、それと同じで、IPアドレスやユーザーアカウントなど個人や特定の端末と紐づいているものを別人が勝手に使ってなりすますことで、相手のシステムを騙してしまうものです。また、スプーフィング攻撃には、不正なプログラムが安全なプログラムを装って相手のシステムに侵入するといったものもあります。
スプーフィング攻撃の種類
スプーフィング攻撃には、なりすましの対象によって以下の4つに大きく分類されます。
- IPスプーフィング
- メールスプーフィング
- DNSスプーフィング
- ARPスプーフィング
主な4つのスプーフィング攻撃の種類について、詳しく見ていきましょう。
IPスプーフィング
「IPスプーフィング」とは名前にあるように、送信元のIPアドレスを偽装して攻撃を行います。
IPスプーフィングで攻撃元を隠ぺいし、サーバーやネットワークなどのリソースに意図的に過剰な負荷をかけることでサービスを妨害するDoS攻撃(Denial of Service Attack サービス拒否攻撃)やDDoS攻撃(Distributed Denial of Service Attack 分散型サービス拒否攻撃)の際に手法として組み込まれることが多い手法です。
メールスプーフィング
メールヘッダーを偽装することで、実際とは異なる送信者によるメールであるかのようにみせかけます。
メールスプーフィングを使用したものは、メールヘッダーだけでなくメールの文面も本物のメールを真似て作り込まれていて、文面の内容も年々巧妙になっているため、正規の送信者からきたものだと信じてしまうケースも少なくありません。
一般的には「フィッシングメール」という言葉で認知されています。
DNSスプーフィング
URLを実際のデータのインターネット上の住所である「IPアドレス」と、対応しているDNS(Domain Name System)サーバー上で、その対応についての情報を不正に書き換える手法を「DNSスプーフィング」といいます。
スマホやパソコンからのDNSへのURLリクエストに対し、偽サイトへ誘導する目的で行われています。
代表的な攻撃手法としては、ネットワーク上のプログラムとサーバーとの間に攻撃者が侵入・介在するMITM(Man in the middle attack)攻撃や、DNSサーバーのキャッシュ機能を悪用して偽のDNS情報を問い合わせたユーザーに返信させるDNSキャッシュポイズニングなどがあります。
ARPスプーフィング
ARP(Address Resolution Protocol)とは、既知のIPアドレスから未知のMACアドレス(ネットワーク機器に一意に割り当てられる物理アドレス)を得るためのプロトコルのことを指します。
ARPスプーフィングとは、ARPの応答を偽装して、LAN上でネットワーク機器のなりすましを行う攻撃手法です。
たとえば、ルーターになりすませば、LANからWANへの通信を盗聴することができるため、ユーザーは深刻・甚大にな被害を被る危険性があります。
スプーフィングを識別する方法
メールスプーフィングはユーザーを直接ターゲットとしているため、識別が最も簡単です。
機密情報の提供を求めるような不審なメールや、不審なウェブサイト、ユーザー名やパスワードを尋ねるような内容のものはスプーフィングである可能性があります。正規のサイトでは、個別に重要なアカウント情報などを提供するようなことは決してありません。
少しでも不審な点があれば、まずは送信者のメールアドレスをチェックして、正規アカウントから送信されたものかどうかを確認することができます。
しかし、IPスプーフィングやDNSスプーフィングの場合は、被害者になったかどうかを把握するのは非常に困難です。
IPスプーフィングの危険性
別のIPアドレスになりすましてしまうIPスプーフィングは、何が危険なのでしょうか。ここでは、IPスプーフィングの危険性について解説します。
- 攻撃のログに残るのはIPアドレスなため、攻撃元の特定が難しい
- IPアドレスでのフィルタリングによる防御が難しい
ファイアウォールなどで、IPアドレスによるアクセス制御を行っている場合は、まったく防御ができなくなる可能性もあるなど、攻撃を防ぐことが難しい面があります。
IPスプーフィングの対策
先にも説明したとおり、IPスプーフィングは、攻撃の検知や防御が難しい攻撃です。その上で、被害を防ぐためにはどういった対策をすれば良いのでしょうか。
通信の認証手段として、IPアドレスを使用しない
特定の送信元IPアドレスの場合に、通信が認証されるといった仕組みの場合、なりすましが発生すると、無条件に攻撃を許してしまいます。それを防ぐ方法としては、たとえば認証キーを使用する、MACアドレスを併用するといったようにIPアドレスだけの認証を使用しないということも対策としては有効です。
一段高い認証を実施する(ID/パスワードを要求するなど)
先ほどとも関連しますが、IPアドレスだけの一種類の認証の場合、IPスプーフィングによってなりすましが行われると、検知や防御が非常に困難になってしまいます。そのため、パスワード認証など複数の認証を組み合わせるといったことも対策としては非常に有効です。
SSHを利用して暗号化された通信を行う
通信内容が暗号化されないまま平文(テキスト)で、ネットワーク上を流れるとIPアドレスなどの情報が悪意のある第三者に盗み取られてしまう恐れがあります。そうなると、その情報をもとにしてIPスプーフィングなどの攻撃が行われるので、必ずSSHを活用して通信を暗号化し、情報を読み取れないようにしておくことが大切です。
ファイアウォールの設定を変更する
従来の一般的なファイアウォールでは、IPアドレスをもとにしてアクセス許可を設定しています。しかし、IPスプーフィングによってなりすましが発生すると、この方法では防ぐことができません。そのため、ファイアウォールでたとえば外部からのアクセスにもかかわらず内部のIPアドレスであるなど挙動がおかしい場合にはじく設定をする必要があります。
まとめ
他人のIPアドレスを使って、他人になりすましてしまう「IPスプーフィング」は、悪質化かつ巧妙化しているサイバー攻撃の中でも、検知し防御することが難しいものの一つです。
従来のファイアウォールでは、IPアドレスをもとにアクセス制御することが多いですが、今回紹介したようにIPスプーフィングが発生すると、防御することは非常に困難です。ファイアウォールの設定変更や、2段階認証の採用などの対策だけでなく、暗号化通信を行うなど、そもそものIPアドレスが漏洩しないための対策も重要です。
なりすましは、知らない間に見知らぬ他人が自分に代わって悪事を働くといった気持ち悪さのみならず、見分けて防ぐことが難しいものです。IPスプーフィング攻撃をさせないようにするための対策がとても重要となってきます。