オンパス攻撃者とは？

ARPの仕組みはこのように働きます。ワークステーションでは、近くのサブネット上にあるスイッチへ通信を行い、ワークステーションは192.168.1.9、スイッチは192.168.1.1です。同様に、この端末とスイッチのMACアドレスも記録され、ARP通信の際に重要な情報となります。

端末が初めてネットワークに接続する時、スイッチのMACアドレスを知る必要があります。しかし、持っているのはIPアドレスのみのため、位置要求、すなわちARPメッセージを送信し、「192.168.1.1は誰か」と問い、MACアドレスを得ようとします。実際、スイッチは近くのサブネット上にあり、この通信を確認できるため、要求された192.168.1.1（自身のIPアドレス）と判断し、MACアドレスを返します。

その後、端末は受信した情報をローカルARPテーブルに記録します。これにより、以降の通信時に毎回ARP要求を送る必要がなくなり、テーブルを参照してMACアドレスを即座に利用できます。

ARP攻撃を用いたオンパス攻撃の場合、攻撃者は同じネットワーク内に存在する必要があります。本例では、攻撃者のIPアドレスは192.168.1.14であり、攻撃対象の端末のMACアドレスも把握できます。攻撃者は、攻撃対象の端末に対してARPレスポンスを送信し、攻撃を開始します。

この端末はその情報を要求していなかったため、送信されるのは完全に予期せぬものです。しかし、ARPにセキュリティ機能がないため、このようなメッセージは受信端末によって受け入れられ、処理されます。

攻撃された端末はARPメッセージを受信し、テーブルの情報を更新します。その結果、192.168.1.1宛の通信は直接スイッチへではなく、攻撃者のMACアドレスへと送られるようになります。まず被害端末で攻撃が成功し、次にスイッチにも同様の攻撃を行います。両者で改竄が成立すると、被害端末とスイッチ間のすべての通信が攻撃者経由で転送されるようになります。

オンパス攻撃は決して簡単な攻撃ではありません。ARP攻撃の場合、攻撃者が同一ネットワーク内にいる必要があり、その環境が整っていなければ実行できません。攻撃者が対象と同じ端末上にいる場合の方が容易です。オンパス型ソフトウェア攻撃では、対象端末と他端末間の通信を操作するマルウェアが対象端末のソフトウェア内で動作します。

この攻撃では、被害端末上でマルウェアが自動的に動作し、通信を直接操作します。同一端末上で実行されることで、ネットワーク上の通信はプロキシや中継端末を経由しても、送信データは常に暗号化されたままとなります。

情報が通過する際、送信側・受信側が気づかない限り、その内容を復号することは不可能です。しかし、攻撃者が対象と同じ端末上にいる場合、暗号化されていない状態で情報を確認できる恐れがあります。こうしたオンパス型ソフトウェア攻撃は、背景で待機し、例えば銀行のログイン時に発動して端末内の情報を次々と持ち出す可能性があります。

オンパス型ソフトウェア攻撃では、マルウェアが裏で待機し、銀行にログインするタイミングを狙います。銀行は利用中のアプリからのアクセスを信頼し、端末のIPアドレスを基に認証を実施しますが、その背後でマルウェアがログイン情報やキーストロークを取得し、口座内のデータを改竄したり持ち出したりする可能性があります。これは、ウイルス対策ソフトやマルウェア対策を常に最新の状態に保つ重要性を示しています。