IPスプーフィング　定義、種類と対策

攻撃は心理と技術の両面を駆使する駆け引きであることが多いです。この攻撃が成立するには、信頼される情報源、犠牲者、そして（偽装を用いる）攻撃者の3者が必要となります。一度、信頼される情報源の偽装に成功すると、少々の脅迫やガスライティングで、警戒していない犠牲者に攻撃者の意図する結果をもたらすことができます。

‍

スプーフィングの種類

各種のSNSやコミュニケーションプラットフォームでは、信頼する情報源が異なります。そのため、プラットフォームごとに特有のスプーフィング手法が存在します。ここでは、利用可能なスプーフィングの種類を見ていきましょう。

1. EMAIL SPOOFING – これは文面の通り簡単な手口です。攻撃者は、信頼される情報源のヘッダーに偽装したメールを、警戒心のない犠牲者に送信します。犠牲者は、メールヘッダーの見た目の信頼性に惹かれ、本物と受け取ってしまうのです。多くの場合、攻撃者は金銭や個人情報を要求し、場合によってはマルウェアへのリンクをクリックさせます。

2. URL SPOOFING – これはウェブサイトの偽装とも呼ばれ、手法は単純ながら非常に危険です。攻撃者は、検索時に利用者が犯しがちなURLの綴り間違い（タイポスクワッティング）を突き、類似のロゴやランディングページを作成して、本物そっくりに偽装します。結果、被害者は本来存在しない機能の有効化や、異なるポリシーの承認を求められることになります。

3. CALLER ID SPOOFING – これは電話の偽装とも呼ばれます。この手口では、攻撃者が携帯電話に送信される着信番号を改ざんします。特に、コールトラッキングや発信者識別のアプリを利用している場合、注意が必要です。攻撃者は、普段見慣れた名前を表示するよう仕組み、怪しい番号であっても信頼感を与えて応答させるよう仕向けます。

4. TEXT MESSAGE SPOOFING – この手口では、犯罪者が正規の送信者に成りすますため、テキスト送信番号のヘッダーを改ざんします。通信会社のヘッダー個別設定機能により、比較的容易に実行可能ですが、その分、見破られやすいという特徴もあります。

5. DNS SPOOFING – DNSはドメインネームシステムの略で、ウェブサイトの識別番号を記録し、検索時に名称と照合するインターネット上のディレクトリのようなものです。DNSスプーフィング攻撃では、DNSディレクトリが誤った番号とウェブサイト名を結びつけるよう操作され、結果として、検索リクエストが誤った（しかし似た）ページに誘導されます。

6. GPS SPOOFING – 攻撃者はしばしば、モバイルデバイスや車両のGPSを狙い、誤った位置情報を送信します。これにより、GPS上では特定の場所にいるように見せかけ、実際は別の場所に存在することが可能となります。極端な場合、この手法は車両の動きや宇宙船、船舶の航行にまで影響を及ぼす恐れがあります。

他にも、ARPスプーフィング、顔認証の偽装（バイオメトリックススプーフィング）など様々な手法が存在します。しかし、インターネットやサイバーセキュリティの観点では、最も一般的かつ危険な手口の一つがIPスプーフィングです。ここではIPスプーフィング攻撃の概要を簡単にご紹介します。

‍

IPスプーフィング攻撃の代替手法

サイバーパンクは、一つの手法に依存せず、複数の方法を組み合わせて攻撃を実行します。そのため、さまざまなIPスプーフィングのバリエーションが見られます。ここでは最も有名なものを紹介します。

• DDoSまたは分散型サービス拒否攻撃

IPスプーフィングの非常に一般的な手法であるDDoS攻撃は、大量の偽装IPを用いて、対象サーバに正規利用者がアクセスできないほど負荷をかける攻撃です。

データ窃盗は伴いませんが、オンラインマーケットの場合、収益減少につながる可能性があります。ウェブサイトが利用不可能になるため、見込み客が購入できなくなるのです。

• ボットネットシステムの検知

ハッカーはIPスプーフィングを利用し、特定のコンピュータに侵入します。IPスプーフィングによって、攻撃者はボットネットを隠すことが可能です。ボットネットとは、一つの統一されたソースからハッカー活動を行う複数のコンピュータ群のことを指します。

この手法により、ハッカーはボットネットを回避してシステムへ侵入することができます。

• MITM、または中間者攻撃

IPスプーフィングは、MITM攻撃（中間者攻撃）において重要な手法です。攻撃者は二つのコンピュータ間に不正なシステムを介在させ、行われる全ての通信やデータ交換を解読しようとします。

サイバーパンクは、IPスプーフィングを利用して個人の通信リソースやアカウントに侵入し、すべての通信に介入しようと試みます。

もし侵入に成功すれば、攻撃者は通信内容を解読し、偽のウェブサイトを作成、データを盗み、さらには重要な情報を改ざんする可能性があります。長期間にわたって続けば、対象事業に深刻な損害を与える恐れがあるため、各チャネルの監視と定期的な接続リセットが重要です。

‍

IPアドレスの偽装

IPは、各コンピュータ固有の識別子のような役割を果たします。インターネットプロトコルに付随する「アドレスタグ」は非常に重要で、技術的には、特定のネットワークに付与された識別子によって、コンピュータ同士が円滑に通信できるようになっています。本質的に、IPアドレスはオンライン上での身元を示すものであり、もし誰かがその身元を完璧に模倣できたなら、個人情報やデータ、財務情報などに不正にアクセスされる恐れが生じます。これがIPスプーフィングの内容です。

技術的には、IPスプーフィングは送信元アドレスを改ざんし、別のコンピュータシステムになりすますためにインターネットパケットを生成するプロセスです。多くの場合、最終目的は個人情報への不正アクセスとなりますが、場合によっては、攻撃者が個人のインターネット上の身元を利用し、ウェブサイトの改竄や脅迫、または大規模な分散型サービス拒否攻撃を仕掛けることもあります。

例を挙げるなら、かつての手書きの手紙と郵便配達員による郵便制度を思い出してほしいです。誰かが手紙や小包の受領を妨げたい場合、送信元で配送先情報を似たものに改ざんするだけで、手紙が届かなくなるのと同じです。これが、IPスプーフィングの比喩的表現です。

IPスプーフィングは、他のあらゆるサイバー攻撃の土台となるため、非常に危険です。攻撃者は正規のIPアドレスを装い、次の複雑な攻撃段階への下地を作ることが多く、例えば、アプリ層攻撃や分散型サービス拒否攻撃の成功に不可欠な要素となっています。以下、その具体的な貢献について見ていきます。

‍

アプリ層攻撃におけるIPスプーフィング

アプリ層攻撃は、モバイルおよびウェブアプリの脆弱性を狙い悪用するために設計されています。これらの攻撃手法はサイバースペースで非常に一般的です。攻撃者の目的は、アプリの機能を停止させたり、改竄したり、利用者の機密情報を盗むことにあります。

多くのアプリ層攻撃では、攻撃者はTCPの3ウェイハンドシェイクと呼ばれる通常の接続手順を悪用します。簡単にそのプロセスをおさらいすると、

• クライアントはSYNを用いて、サーバへの接続要求パケットを送信する。
• サーバはクライアントに対し、SYN-ACKの応答を返す。
• クライアントはさらにACKメッセージをサーバに送信する。

攻撃者はIPスプーフィングにより、この3段階の手順を妨害します。正規のサーバにリクエストが届く代わり、偽装した攻撃者がSYNパケットを受け取り、本来クライアントが受け取るべき応答を乗っ取るのです。ここで、ソーシャルエンジニアリングの手法を導入し、警戒していない利用者をマルウェアへ誘導します。

‍

分散型サービス拒否攻撃におけるIPスプーフィング

分散型サービス拒否攻撃は、大量のトラフィックやリクエストを送り、ウェブアプリの処理能力を圧迫することで機能不全に陥らせる攻撃です。これは、人々の通常の通行路を遮断し、狭い通路に誘導するようなものです。その結果、被害アプリは全く機能しなくなります。DDoS攻撃には様々な手法がありますが、代表的なのはボリュームを利用するDDoS攻撃です。これにより、被害アプリの処理能力を消費させます。

ここでIPスプーフィングの出番となります。IPスプーフィングは、ボリュームDDoS攻撃の下地としてよく利用されます。たとえば、信頼される情報源からリンクをクリックするよう促されると、多くの人が反応します。サイバー攻撃者は、多くの信頼される情報源を偽装し、ソーシャルエンジニアリングを用いて利用者を標的のサイトへ誘導します。これは高度な技術と正確性を要しますが、正規のものに見せかける効果的な手法の一つです。

‍

IPスプーフィングの事例

この脅威は非常に一般的で、ITおよびインターネットコミュニティの多くに影響を及ぼしています。単体でも、他のサイバー詐欺手法と組み合わせても使用され、深刻な懸念を引き起こしています。以下、いくつかの事例を紹介します。

• DNSスプーフィングが3つの地域銀行に影響を与えた

2006年、フロリダを拠点とする著名な3つの地域銀行が、悪質なDNSスプーフィング攻撃の標的となりました。これまで見られなかった新たな手法で、攻撃者はこれら全ての銀行が利用していたISPサーバを乗っ取りました。

サーバの制御権を握った攻撃者は、全ての着信トラフィックを偽のログインページへ誘導しました。銀行の利用者は、その偽装ページを本物と信じ、ATM PIN、CVV、カード番号などの機密情報を入力してしまい、結果として攻撃者はデータベースへ不正アクセスを行いました。

• DDoSスプーフィングがHumanaに影響を与えた

Humanaは米国の大手健康保険会社で、2018年にDDoSスプーフィング攻撃の被害に遭いました。請求内容、受診サービス、保険料、保険番号などのデータが流出し、攻撃は2日間続きました。

• マレーシア航空に対するDNSスプーフィング攻撃

2015年、攻撃によりマレーシア航空の公式サイトが機能停止し、利用者はアクセスできなくなりました。データの流出や窃盗は発生しなかったものの、多くの利用者が航空券の予約やフライト状況の確認に支障をきたしました。

• EuropolがMITM攻撃の被害に遭った

2015年、Europolは支払い処理リクエストへのアクセスを攻撃者に許すMITM攻撃を確認しました。

‍

IPスプーフィングの検知方法

IPスプーフィングがこれほどまでに破壊的である理由は、長期間にわたり気づかれにくい点にあります。ネットワーク層で発生するため、初学者には深く検知することが難しいのです。しかし、検知が不可能というわけではありません。

少しの注意と意識があれば、周囲にIPスプーフィングの存在を感じ取ることができます。システムやデバイスに影響が出ると、必ず運用上の変化が生じるからです。

たとえば、対象のIPアドレスに不整合が見られる場合、こうした変化に注目することで迅速かつ正確な検知が可能となります。

パケットフィルタリングは、組織や個人が採用できる最も一般的なIPスプーフィング検知手法です。Wallarmは、エンドポイントのトラフィックを解析し、IPアドレスの不整合を検出する自動化・統合型のパケットフィルタリングシステムを提供しています。

さらに、これらのツールは不正なパケットの特定にも優れています。パケットフィルタリングには着信フィルタリングと送信フィルタリングの2種類があり、いずれも早期かつ正確にIPスプーフィングを検知することが可能です。

まず、着信フィルタリングは受信パケットを調べ、送信元IPヘッダーが正当なものかどうかをアクセス制御リストを用いて確認し、一致しない場合は直ちに破棄します。

次に、送信フィルタリングは、出力パケットの送信元IPアドレスが対象組織のネットワークと一致しているかを確認し、内部からの攻撃を防止します。

‍

IPスプーフィング攻撃からネットワークを守る方法

IPスプーフィングによる被害の大きさから、組織はこのような攻撃を防ぐ方法を把握する必要があります。以下、実績のある有効な対策を紹介します。

1. ファイアウォール – ファイアウォールを用い、偽装IPをチェックして遮断するフィルターとして活用する。技術の進歩により、これらのIPの挙動パターンを解析するアルゴリズムが容易に構築可能となっているため、これにより攻撃者を排除できる。

2. パケットフィルタリングシステムの導入 – 偽装ヘッダーを検出し、スプーフィング攻撃者を排除するパケットフィルタリングシステムは、メールシステムや発信者番号のセキュリティに非常に有効です。

3. 暗号化プロトコルによるセキュリティ強化 – 現在最も一般的なインターネット暗号化プロトコルであるHTTPSを利用することで、リクエストやサーバ応答時にデータを守ることができます。ウェブサイト閲覧時に表示される鍵アイコンは、サイトのデータが安全に暗号化されている証拠です。これがない場合、データ漏洩やURL、IPスプーフィング攻撃のリスクが高まります。

4. セキュリティソフトの活用 – 信頼性の高いセキュリティソフトは多数存在します。VPNや有料のウイルス対策ソフトを導入し、データ侵入やスプーフィング攻撃に対する第一の防御線とすることが可能です。

5. ネットワークの手動監視 – 高度な自動防御システムを導入していても、攻撃者がそれを回避する可能性は否めません。定期的な監視体制を整え、疑わしい動きがないかチェックすることで多くのトラブルを防ぐことができます。定期的なチェックの時間枠を設定するとよいでしょう。

結論

IPスプーフィングは、ネットワーク、データベース、コンピュータ、そして利用者にとって危険な脅威です。誰もがこの手口について知っておく必要があり、各自が責任を持って攻撃から自身を守ることが大切です。データは未来である故、安全に保つことが求められます。