San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。
Wallarm
/
Wallarmラーニングセンター
/
IP分割攻撃
Attacks

IP分割攻撃

もし貴社のサイトが突然開かなくなった経験があるなら、その原因の一つとしてサイバー攻撃が考えられます。攻撃者が狙う対象の一つに、IPによる情報送信の仕組みがあります。

この攻撃手法は長い間使われており、インターネットサービスプロバイダも対策を講じています。しかし、サイバー犯罪者は依然としてこの手法を狙っています。以下では、その仕組みと対策方法について解説します。

IP分割攻撃の意味を理解するには、まずIP通信、つまりパケット通信の基本を押さえる必要があります。

IP分割攻撃

IP分割とは、データグラムをより扱いやすい小さなデータ片、いわゆるバンドルに分割する手法です。これらは受信側が管理しやすい一定のサイズに調整され、情報を正確に伝えることを目的としています。この基本的な仕組みには、送信前に非常に多くのデータを詰め込む余地がある点に注意が必要です。

これらのバンドルは受信側で再構成され、受信した情報を理解できるようになります。もしデータグラムが大きすぎる場合、ノードはそれを破棄するか、再分割して送信します。

パケット通信とは

ほとんどの機器は、一定サイズのIPバンドルで情報を送信します。これがパケット通信と呼ばれます。

パケット通信は、接続型と非接続型に分かれます。接続型の場合、通信開始前にあらかじめ経路を確立し、データの送受信を行います。

非接続型通信では、各パケットが独立しており、順不同で送信されます。これらはデータグラムと呼ばれ、ランダムな順序で伝送されるため、その性質を悪用してノードへの攻撃に利用されることがあります。

インターネットサービスプロバイダ分割攻撃とは

インターネットサービスプロバイダの分割攻撃は、データグラムの不規則な挙動を利用してネットワークに不要な負荷をかける攻撃の一種です。

この攻撃を理解するには、まずIP分割の仕組みを知ることが必要です。IP分割とは、データグラムを小さなパケットに分割し、ネットワーク上で送信後に元のデータグラムへ再構築するプロセスです。

データ伝送には分割が欠かせません。各ネットワークには処理できるデータグラムの最大サイズという上限があり、この限界は最大転送単位 (MTU) と呼ばれます。送信するデータグラムが受信側のMTUを超える場合、完全に送信するために分割する必要があります。

各データグラムのIPヘッダには、分割が許可されているかどうかのフラグが含まれています。もし「分割禁止」のフラグがセットされている場合、そのパケットは破棄され、ICMPメッセージによりデータグラムが大きすぎることが通知されます。オフセットは、再構成時に各セグメントをどの位置に配置するかを受信側に示します。

インターネットサービスプロバイダ分割攻撃の種類

TCP分割攻撃、別名ティアドロップ攻撃は、TCP/IPの再構成ツールを狙い、分割されたパケットの組み立てを妨害します。その結果、データが蓄積し、受信側のリソースを急速に消費してシステムが停止する可能性があります。ティアドロップ攻撃は、かつてWindows 3.1、95、NTなどに見られたOSの脆弱性に起因していました。パッチで対策されたものの、Windows 7やVistaでは再び脆弱性が確認され、この攻撃手法は依然として有効です。

TCPベースの分割攻撃

この脆弱性は最新のWindowsで再修正されましたが、管理者は今後のバージョンでも確実に修正され続けるか注意する必要があります。

  • UDP(ユーザーデータグラムプロトコル)およびICMP(インターネット制御メッセージプロトコル)の分割攻撃

UDP及びICMP分割攻撃は、ネットワークのMTU(通常約1500バイト)を超える大きなUDPまたはICMPバンドルを送信することで実施されます。これらの不正なバンドルは再構成できず、対象ノードのリソースを急速に消費し、システムを麻痺させます。

  • 小片攻撃

各IPパケットはヘッダとペイロードから構成されます。ヘッダにはパケットの送信先が示され、ペイロードには伝達すべき情報が含まれます。

小片攻撃は、パケットの一部が非常に短くなり、自身のヘッダ情報を収めることができなくなると発生します。その結果、ヘッダの一部が別のパケットとして送信され、再構成が妨げられ、受信側が停止する恐れがあります。

IP/ICMP分割攻撃への対策と防止策

IP分割攻撃は、攻撃の種類や性質に応じて、いくつかの一般的な対策で軽減できます。多くの防御策は、不正なデータパケットが受信側に届かないようにしています。一般的な手法としては、スイッチやIDS、ファイアウォール、または侵入防止システムを用いてパケットの検査を行うことが挙げられます。

  • スイッチ、IDS、ファイアウォール、または侵入防止システムを用いてパケットの送信を監視する。
  • OSを最新の状態に保ち、最新のセキュリティパッチが適用されているか確認する。
  • 分割されたIPパケットを送信する相手との接続を遮断する。ただし、一部の正当なサービス(例:携帯電話)は分割パケットを使用しているため、過度の遮断は通信に影響を及ぼす可能性がある。

複雑なネットワークは今回の状況に対して脆弱となりがちです。最適なセキュリティとネットワーク管理のため、基本の2つの手法を利用することが推奨されます。

FAQ

参考資料

最新情報を購読

更新日:
February 25, 2025
学習目標
securing apps on aws with wallarm
ウェビナー
March 13, 2025
Secure Your AI: Protecting Agentic AI in an API-Driven World

Learn how to protect your AI ecosystem and ensure business continuity with actionable insights from Wallarm Security Lab

Register now
最新情報を購読
購読
著者 |
認定エキスパート
システムエンジニアリング、セキュリティ分析、ソリューションアーキテクチャなどで20年以上のIT経験があります。Windows、Linux、UnixなどのOS、C++、Python、HTML/CSS/JS、Bashなどのプログラミング、およびMySQL、Oracle、MongoDB、PostgreSQLなどのDBを熟知しています。PowerShellやPythonによるスクリプト作成、マイクロサービスやコンテナ、CI/CDなどのDevOps、Node.js、React、AngularなどのWeb開発にも習熟しています。ITシステムの運用管理で豊富な実績を持っています。
レビュー担当 |
認定エキスパート
StepanはPython、Java、C++に精通したサイバーセキュリティのエキスパートです。セキュリティフレームワーク、各種テクノロジー、製品管理に関する深い理解を持ち、堅牢な情報セキュリティプログラムを実現しています。CI/CDやAPI、アプリのセキュリティにも精通し、機械学習やデータサイエンスを活用して新しいソリューションを生み出しています。セールスや事業開発の戦略的洞察とコンプライアンス知識をあわせ持ち、変化の激しいサイバーセキュリティの分野でWallarmの成功を支えています。
関連トピック
<