ARPスプーフィングまたはARPポイズニング

ARPプロトコルの解説

ARPスプーフィング攻撃の危険性について解説する前に、まずARPプロトコルについて理解しましょう。ARPはアドレス解決プロトコルのことで、ネットワーク上のいずれかの場所に存在する対象デバイスへ通信メッセージを確実に届ける役割を担っています。

ARPプロトコルの主な役割は、IPアドレスとMACアドレスの相互変換です。ほとんどのインターネット接続機器は、ルーターやゲートウェイに接続するためにARPプロトコルを利用します。これにより、ネットワーク上で通信が可能となります。

‍

ARPスプーフィングまたはARPポイズニングとは何か？

ARPはインターネット通信の重要な一部であるため、ARPスプーフィングの意味と意義を理解することが重要です。これは、攻撃者がネットワーク上および各デバイス間で交わされる情報のやり取りを読み取れるように、ARPプロトコルを改ざんする行為です。また、ARPプロトコルが悪用されるため、この攻撃はARPポイズニングとも呼ばれます。

ARP攻撃を実行する方法は2通りあります。

最初の方法では、攻撃者がしばらく待ち、特定のデバイスに関連するARP要求にアクセスします。ARP要求が確認されると、迅速に応答します。この方法は隠密性が高く、ネットワークにすぐには気づかれません。また、その影響は限定的で大きな被害には至りません。

次の方法では、攻撃者が「gratuitous ARP」と呼ばれる不要なメッセージを大量に送信します。これは即時に大きな影響を及ぼし、一度に多数のデバイスに影響を与える可能性があります。ただし、同時に多くのネットワークトラフィックが発生し、対応が難しくなる点に留意が必要です。

ARPスプーフィング攻撃の目的

攻撃者の意図によって、攻撃の目的は異なります。攻撃者は、さらなる有害な攻撃の足掛かりにしたり、1台のデバイス間で行われる通信にアクセスするために利用する場合もあります。

一般的な目的としては、以下が挙げられます：

• 対象ネットワークに大量のARP応答メッセージを送り込み、溢れさせる
• MACアドレステーブルに偽のMACアドレスを詰め込む
• 正規のIPアドレスに偽のMACアドレスを関連付ける
• 無数のARP要求を送り、ネットワークホストを混雑させる

‍

ARPスプーフィング - ステップごとの解説

攻撃の手順は以下の通りです：

ステップ1：

まず、悪意ある攻撃者は対象ネットワークに入り込み、IPアドレスに関する情報を抽出するために広範囲にスキャンします。攻撃者は、送信元と受信側の少なくとも2台のデバイス（例：ルーターとワークステーション）からこの情報を取得する必要があります。

ステップ2：

IPアドレスの詳細が得られると、攻撃者はDriftnetやArpspoofなどのツールを使い、正規のARPプロトコルを偽造または改ざんします。

ステップ3：

改ざんまたは偽造されたARP情報は、正規のMACアドレスが実際のIPアドレスと偽のIPアドレスの両方に関連付けられていると誤認させます。このため、ワークステーションとルーターの両方が混乱し、攻撃者がネットワークに侵入できるようになります。

ステップ4：

要求の処理過程で、ルーターとワークステーションは攻撃者のデバイスのMACアドレスに基づいてARPキャッシュを更新します。その結果、改ざんされたデバイスとの通信ブリッジが形成されます。

成功すれば、攻撃者は通信の途中に入り込みます。つまり、この攻撃は中間者攻撃（MiTM）の一形態です。

この攻撃は何に利用されるか？

ARPスプーフィングは大きな被害を及ぼす可能性があり、攻撃者が狙ったデバイスやネットワークに深刻な影響を与えることがあります。以下に、ARP攻撃の主な用途をいくつか挙げます。

• ‍MiTM

これは中間者攻撃の中でも最も一般的で、かつ被害が大きくなる恐れがあります。この攻撃を実行するため、攻撃者は偽のARP応答を利用します。一般に、攻撃対象となるIPはサブネット内のデフォルトゲートウェイです。偽のARP応答が送信されると、対象機器は攻撃者のデバイスのMACアドレスと通信を開始します。

その後、被害デバイスはネットワークの一部と誤認し、情報やトラフィックを攻撃者のデバイスへ誤って転送し始めます。この攻撃を実行するため、一部の攻撃者はEttercapなどのツールを用い、自らをプロキシとして偽装し、改ざんされた情報にアクセスする場合もあります。

攻撃者が非常に高度な技術を持っている場合、ARPポイズニングとDNSポイズニングを組み合わせることも可能です。その場合、中間者攻撃の影響はさらに強化され、より大きな被害が発生します。

• ‍DDoS攻撃

これは、特定のネットワークが大量の応答やトラフィックで溢れ、一部または全ての被害者がアクセスできなくなる攻撃を指します。ARPスプーフィングの場合、攻撃者はネットワークに偽のARP応答を大量に送り込み、特定のMACアドレスに対応する多数の偽IPアドレスを生成させます。結果として、デバイスが詰まり、他のユーザーからのアクセスが困難になります。この攻撃はARPフラッディングとも呼ばれます。

• ‍セッションハイジャッキング

構造的には、この攻撃は中間者攻撃に非常に似ています。しかし、攻撃者は被害デバイスから最終目的地へ直接トラフィックを送るのではなく、元のTCP番号を奪い取り、それを正当な通信元として利用します。新たなIDを用いて攻撃者は最終目的地へ接近します。

‍

ARPスプーフィングの検出

問題を早期に発見し、対策を講じることが被害の拡大を防ぐ最良の方法です。幸い、ARPスプーフィングの検出はそれほど難しくありません。以下にいくつかのヒントをご紹介します。

• 市場には、ARPキャッシュの存在を即座に検知する商用ツールが多く提供されています。ソフトを使用しない場合は、システムのARPテーブルに注目してください。
• 簡単です。cmdウィンドウを開き、“arp -a”コマンドを入力するだけで、現在使用中のIPとMACアドレスの対応表が一覧表示されます。その中からARP応答の状態を確認し、偽のものを特定できます。ただし、ARP応答に関する十分な知識が必要です。
• また、X-ARPやarpwatchなどのツールを利用してネットワークの状況を監視し、偽または改ざんされたARP応答を検知した場合、即座に管理者へ通知することも可能です。ただし、誤検知の可能性もあるため、不要な通知が多数発生する場合もあります。手動での確認も必要です。

‍

防止方法

ARPスプーフィングは軽視できない攻撃であり、デバイスや企業ネットワークに大きな脅威をもたらす可能性があります。以下は、専門家が検証したARPスプーフィング防止策です。

• VPNを利用しましょう。この技術はIPアドレスを隠すため、攻撃者がARPスプーフィングに使用するIPアドレスへのアクセスが制限されます。また、実際のIPアドレスを隠すだけでなく、通信が完全に暗号化され、デバイスの安全性が向上します。
• ARP攻撃を防ぐ有効な方法の一つは、静的ARPを利用することです。
• ARP応答はそのIPアドレスに紐づいています。同じルーターを使用して接続している場合、静的ARPプロトコルを用いることが重要です。これにより、繰り返し使用されるARPへの不正アクセスを防止できます。
• パケットフィルタリングを実装することも有効です。これにより、改ざんされたARPパケットを早期に検出し、ネットワークに届く前に排除できます。これは、有用なARPスプーフィング対策の一つです。
• 定期的にスプーフィング攻撃のテストを実施してください。これにより、問題のある脆弱性を早期に発見し、対策を講じることが可能です。
• 高水準のポートセキュリティを実施すれば、ARPポイズニング攻撃の可能性は低くなります。スイッチでポートセキュリティが有効になっていることを確認してください。その設定は簡単で、スイッチポートに同時に1つのMACアドレスのみアクセスを許可すれば良いだけです。
• 有効なARPスプーフィング防止策の一つは、ネットワークの分離です。ARPメッセージは基本的にローカルサブネット内に留まるため、明確な境界線を持つネットワークを構築することで、1つのサブネットに影響を与える攻撃が他のデバイスに広がるのを防げます。

最終的な結論

サイバーの世界がリスクに満ちている以上、サイバーセキュリティを軽視する理由はありません。ARPスプーフィングは深刻なサイバー脆弱性であり、想像を超える被害をもたらす可能性があります。したがって、最適な防止策を採用し、問題の初期段階で対処することが重要です。