IP スプーフィングの仕組みとは? 防止・対策方法を紹介します
スプーフィングとは、第三者がコンピュータ、デバイス、またはネットワークを使用して、正規の人物になりすまし、他のコンピュータネットワークを不正に利用するサイバー攻撃のことです。
これは、ハッカーがコンピューターにアクセスして機密データをマイニングしたり、ゾンビ(悪意のある使用者に乗っ取られたコンピューター)に変えたり、サービス拒否 (DoS) 攻撃を開始したりすることを目的として使われるツールの1つです。
さまざまな種類のスプーフィング攻撃がある中で、IP スプーフィングは最もよく使われる手法です。
IP スプーフィングとは?
「IP スプーフィング」または「IP アドレススプーフィング」とは、別のコンピュータシステムになりすますために、偽の送信元「IPアドレス」を使用して、インターネットプロトコル(IP)パケットを作成することです。
IP スプーフィングにおいては、ほとんどの場合、サイバー犯罪者は検知されることなく、悪意のあるアクションを実行できます。これには、データの盗難・マルウェアを使ったデバイスの感染・サーバーのクラッシュなどが含まれます。
IP スプーフィングの仕組み
まずは背景から見ていきましょう。
インターネットを介して送信されるデータは、最初に複数のパケットに分割されます。その後パケットは個別に送信されて、最後に再構成されます。
各パケットの先頭には、IP(インターネットプロトコル)ヘッダーがあり、これには送信元のIPアドレスや宛先のIPアドレスなど、パケットに関する情報が含まれています。
IPスプーフィングでは、ハッカーはツールを使用して、パケットヘッダーの送信元アドレスを変更します。次に、受信側のコンピュータシステムに、信頼できる送信元からであると認識させて受け入れさせます。これにより、パケットが正規のネットワーク上の別のコンピュータから送られたと認識するのです。これらの行為は、ネットワークレベルで発生するため、改ざんの痕跡は外部にはありません。
ネットワークに接続されたコンピューターでは、あらかじめ信頼できるシステムとして、ネットワーク内のコンピュータ同士の認証設定をしておくことがほとんどです。
IPスプーフィングを使用すると、IPアドレス認証をすり抜ける(バイパスする)ことができます。この概念は、「城と堀」の防御と呼ばれることもあります。ここでは、ネットワークの外部の人々が脅威と見なされ、「城」の内部の人々が信頼されます。このような仕組みから、ハッカーがネットワークの内部に侵入すると、簡単にあらゆるシステムにアクセスできてしまうのです。
この脆弱性を防ぐため、単純な認証機能を追加することもあるでしょう。しかし、近年では多段階認証を使用するなど、より堅牢なセキュリティアプローチに置き換えられています。
サイバー犯罪者は、IPスプーフィングを使用して、オンライン詐欺やID の盗難を実行したり、企業のWebサイトやサーバーをシャットダウンさせたりすることがよくあります。
しかし、合法的に使用する場合もあります。たとえば、組織はWebサイトを公開する前のテストを行うときに、IPスプーフィングを使用します。この場合、何千もの仮想ユーザーを作成してWeb サイトをテストし、サイトがダウンすることなく大量のログインを処理できるかどうかを確認するのです。このように使用したときは、IPスプーフィングは違法ではありません。
IPスプーフィングの種類
IPスプーフィング攻撃の最も代表的な手法は次の3つです。
分散型サービス拒否 (DDoS) 攻撃
DDoS攻撃では、ハッカーはスプーフィングされた IP アドレスを使用して、大量のデータパケット送信によりコンピューターサーバーに負荷をかけます。
これにより、ハッカーは IDを隠しながら、大量のインターネットトラフィックがあるWebサイトやネットワークの速度を低下させたり、クラッシュさせたりすることができます。
ボットネットデバイスのマスキング
IPスプーフィングは、ボットネットをマスキングすることで、大量のコンピュータへ攻撃を仕掛けます。
ボットネットとは、単一のソースからハッカーが制御するコンピューターのネットワークのことです。各コンピューターは専用のボットを実行し、攻撃者に代わって悪意のあるアクティビティを実行します。
IPスプーフィングにより、攻撃者はボットネットを隠すことができます。これは、ネットワーク内の各ボットが、スプーフィングIPアドレスを持つことにより、悪意のある攻撃者の追跡が困難になるからです。これにより、長期間の攻撃を可能にし、被害を拡大化させます。
中間者攻撃
別の悪意のあるIPスプーフィング方法としては「中間者攻撃」があげられます。
中間者攻撃とは、2 台のコンピューター間の通信を中断してパケットを変更することで、元の送信者または受信者が知らないうちに送信してしまう攻撃のことです。
攻撃者がIPアドレスをスプーフィングし、個人の通信アカウントへアクセスした場合、攻撃者はそのあらゆる通信を追跡できます。そこから情報を盗んだり、ユーザーを偽のWebサイトに誘導したりすることができます。
時間の経過とともに、ハッカーは悪用または転売できる、たくさんの機密情報を収集します。つまり中間者攻撃は、他の攻撃よりも儲かる可能性があるといえます。
IP スプーフィングの例
IPスプーフィング攻撃として、最も頻繁に引用される例の1つは、「2018年のGitHubの DDoS攻撃」です。GitHubはコードホスティングプラットフォームであり、2018年2月に、これまでで最大といわれる DDoS 攻撃に遭遇しています。
攻撃者は、非常に大規模な組織的犯行によりGitHubのIPアドレスをスプーフィングしたため、サービスが20分近くダウンしました。GitHubは、仲介パートナーを介してトラフィックを再ルーティングし、データをスクラブして悪意のあるパーティをブロックすることで、制御を取り戻しました。
それ以前の例としては、Europol が大陸全体の中間者攻撃を取り締まった2015年の事件です。この攻撃では、ハッカーは企業とその顧客間の支払い要求を妨害していました。犯罪者はIPスプーフィングを使用して、組織の企業メールアカウントへ不正アクセスを行ったのです。次に通信を監視して顧客からの支払い要求を傍受、その内容を見て顧客をだまし、犯罪者が管理している銀行口座に送金させました。
ネットワークスプーフィングの形式は、IPスプーフィングだけではありません。「メールスプーフィング・Web サイトスプーフィング・ARP スプーフィング・SMSスプーフィング」などがあげられますが、他にも多くの種類があります。
IP スプーフィングの検知方法
エンドユーザーがIPスプーフィングを検知することは困難であり、非常に危険な状態に陥ることもあります。
これは、IPスプーフィング攻撃がネットワーク層(つまり、オープンシステム相互接続通信モデルのレイヤー3)で実行されるためです。これにより、改ざんの痕跡が外部に残ることはありません。多くの場合、偽装された接続要求は、外部からは正規のものであるように見える可能性があります。
しかし、組織はネットワーク監視ツールを使用して、エンドポイントでトラフィックを分析できます。
パケットフィルタリングはこれを行うための最も代表的な方法です。パケットフィルタリングシステム(ルーターやファイアウォールに含まれることが多い)は、パケットのIPアドレスと、アクセス制御リスト(ACL) に詳細が記載されている「望ましいIPアドレスとの間の不整合」を検知します。また、不正なパケットも検知します。
パケットフィルタリングの主なタイプは、入口フィルタリングと出口フィルタリングの2つです。
入口フィルタリング
着信パケットを調べて、「送信元IPヘッダーが許可された送信元アドレスと一致するか」を評価します。疑わしいと思われるパケットはすべて拒否されます。
出口フィルタリング
送信パケットを調べて、「組織のネットワーク上のアドレスと一致しない送信元IPアドレス」をチェックします。これは、内部関係者がIPスプーフィング攻撃を開始するのを、防ぐように設計されています。
IP スプーフィングの防止策
IPスプーフィング攻撃は、攻撃者本来の身元を隠すように設計されており、攻撃者の発見を困難にします。しかし、リスクを最小限に抑えるために、いくつかのスプーフィングに対して対策を講じることができます。
IPスプーフィングをできる限り防ぐことは、サーバー側のチームの仕事であるため、エンドユーザーはIPスプーフィングを防げません。
IT スペシャリスト向けのIPスプーフィング保護
IPスプーフィングを回避するために使用される戦略のほとんどは、IT スペシャリストによって開発、および展開されなくてはなりません。IPスプーフィングから保護するためのオプションは、次のとおりです。
- 不定形のアクティビティがないかネットワークを監視
- 不整合(組織のネットワーク上の送信元IPアドレスと一致しない送信元IPアドレスを持つ発信パケットなど)を検知するためのパケットフィルタリングの展開
- 堅牢な検証方法の使用(ネットワーク接続されたコンピューター間にも適用)
- すべてのIPアドレスの認証とネットワーク攻撃ブロッカーの使用
- 少なくとも一部のコンピューティングリソースを、ファイアウォールの背後へ配置する。ファイアウォールは、偽装されたIPアドレスでトラフィックをフィルタリングし検証する。許可されていない部外者によるアクセスをブロックすることにより、ネットワークの保護の支援となる。
Webデザイナーにおいては、サイトを従来型のプロトコルである「IPv4」から、最新のインターネットプロトコルである「IPv6」に移行することが推奨されています。IPv6には暗号化と認証の手順が含まれるため、IPスプーフィングを困難にします。
エンドユーザー向けの IP スプーフィング保護
エンドユーザーはIPスプーフィングを防ぐことはできません。とはいえ、サイバー対策を実践することは、オンラインでの安全性の最大化に役立ちます。適切な予防策は、次のとおりです。
ホームネットワークが安全に設定されていることを確認する
ホームルーターと接続されている、すべてのデバイスのデフォルトのユーザー名とパスワードを変更することを推奨します。
パスワードは分かりやすいものを避け、少なくとも12文字以上で、「大文字と小文字・数字・記号」を組み合わせた強力なものを使用しましょう。
公衆 Wi-Fi を使用するときは注意する
安全でない公衆Wi-Fiを使ったオンラインショッピングや、オンラインバンキングの利用は避けてください。
やむを得ず公衆ホットスポットを利用する場合は、仮想プライベートネットワークまたはVPNを使用して安全性を最大化しましょう。VPNはインターネット接続を暗号化して、送受信する個人データを保護します。
アクセスする Web サイトが HTTPS であることを確認する
一部のWebサイトではデータが暗号化されません。最新のSSL証明書がない場合、攻撃に対してより脆弱になります。
URLがHTTPSではなく、HTTPで始まるWebサイトはSSL証明書がなく、安全とはいえません。これは、そのサイトと機密情報を共有するユーザーのリスクといえます。ウェブサイトがHTTPSを使用していることを確認し、URLアドレスバーでカギマークのアイコンを探しましょう。
フィッシングの試みに関して注意を怠らない
パスワードやその他のログイン資格情報、または支払いカード情報を更新するように求めるフィッシングメールには注意しましょう。
フィッシングメールは、有名なサービスなどの公式サイトから送信されたように見えますが、実際にはサイバー犯罪者によって送信された偽物のメールです。フィッシングメールに書かれたリンクをクリックしたり、添付ファイルを開いてはいけません。
包括的なウイルス対策製品を使用する
オンラインで安全を維持する最善の方法は、高品質のウイルス対策ソフトウェアを使用して、ハッカー・ウイルス・マルウェア、および、最新のオンライン脅威から身を守ることです。
また、ソフトウェアが最新のセキュリティ機能を保持するために、ソフトウェアを最新の状態に保つことも不可欠といえます。
関連するカスペルスキー製品
IP スプーフィングの仕組みとは? 防止・対策方法を紹介します
Kaspersky
