ARPスプーフィングとはどのような攻撃？リスクや対策を解説

ARPスプーフィングは、同一ネットワーク内での通信を傍受し、改ざんするサイバー攻撃の1種です。ARPスプーフィングでは、攻撃者がARPプロトコルを悪用して正規のデバイスになりすまし、ネットワーク上の通信を自分のコンピュータを経由させることで情報窃取を行います。

ARPポイズニングとも呼ばれるこの攻撃は、1980年代からハッカーによって使用されてきた歴史のある手法です。ARPスプーフィングが成功すると、攻撃者は中間者として振る舞い、被害者のデータパケットを傍受・監視することが可能です。

そもそもARPとは

ARPとは、Address Resolution Protocolの略で、IPアドレスをMACアドレスに変換するためのプロトコルです。ネットワーク通信で、データが正しい送り先に届くために重要な役割を果たしています。

IPアドレスはOSI参照モデルのネットワーク層で機能し、コンピュータがネットワーク上にある場所を表す「住所」のような役割です。一方、MACアドレスはOSI参照モデルのデータリンク層で機能し、ネットワーク端末に固有に割り当てられる「名前」を指します。PC1台につき1つ割り当てられる識別子です。

通信相手のIPアドレスは分かっていても、実際にデータを送信するにはMACアドレスが必要になるため、ARPプロトコルが使用されます。

ARPスプーフィングの仕組み

ARPスプーフィングでは、正常なARP処理を悪用し、攻撃者がルーターやゲートウェイなど正規のデバイスになりすまして偽のMACアドレスを返答する仕組みです。

具体的には、攻撃者は「自分がルーターである」と偽のARP情報を返答し、ネットワーク上の端末のARPテーブルを書き換えさせます。送信元端末は本来ルーターに送るべき情報を攻撃者に送信することになり、通信を傍受する仕組みが働きます。

攻撃者は傍受した情報を確認した後、本来の宛先に転送することで通信を継続させるため、被害者は通常の通信が行われていると思い込むことが特徴です。そのため、ARPスプーフィングによる傍受は、顕著な兆候がなく気づきにくいため、知らないうちに被害に遭うことも少なくありません。

ARPスプーフィングによる被害として次の内容が挙げられます。

• 機密情報や個人情報の漏えい
• 通信内容の書き換え
• セッションハイジャック
• DoS攻撃

それぞれの被害がどのような内容か詳しく解説します。

機密情報や個人情報の漏えい

ARPスプーフィングによる被害の1つが、機密情報や個人情報の漏えいです。ネットワーク通信の傍受を通じて、攻撃者はユーザーの機密データを盗み取ります。

カフェやホテルなどの公共の場所でWi-Fiを利用する際には特に注意が必要です。攻撃者が同じネットワークに接続してARPスプーフィングを行う可能性が高まります。

個人のアカウントへの不正アクセスを試みたり、クレジットカード情報を使って不正購入を行ったりする可能性があるなど、被害に気づいた時には既に大きな損害が発生していることも珍しくありません。

通信内容の書き換え

ARPスプーフィングによって、攻撃者は単に情報を傍受するだけでなく、通信データを改ざんできます。改ざんにより、ユーザーを偽のウェブサイトに誘導したり、金融取引の内容を変更したりする悪質な攻撃が可能です。

特に深刻なのがネットバンキングでの被害です。例えば、ユーザーが振込を行う際、振込先が攻撃者によって別の口座に書き換えられるケースがあります。ユーザーは正規のウェブサイトで正しい操作をしているつもりでも、実際には攻撃者の口座に送金していることになり、深刻な金銭的損害をもたらす可能性があります。

見た目では気づきにくく、送金完了画面でも正しい情報が表示されるよう偽装されることがあるため特に注意しなければなりません。

セッションハイジャック

セッションハイジャックとは、攻撃者が正規ユーザーのセッション情報を盗み取り、そのアカウントに不正にアクセスする手法です。ユーザーが正常にログインした後のセッションを乗っ取るため、パスワードを知らなくても認証済みの状態でアカウントを操作できる特徴があります。

ARPスプーフィングによるセッションハイジャックによって、プライバシー侵害や金銭的損失を引き起こしかねません。特にクレジットカードを利用するオンラインサービスでは、攻撃者がセッションを乗っ取った後に不正な購入を行い、被害者が思わぬ金額を請求される可能性もあるため注意が必要です。

DoS攻撃

ARPスプーフィングによる被害の1つとして、DoS攻撃があります。DoS攻撃とは、ターゲットとなるサーバーやネットワークに大量のトラフィックを送信することで、正常なサービス提供を妨害する攻撃手法です。

ARPスプーフィングは、DoS攻撃を実行するための足がかりとして利用されることがあります。攻撃者はARPスプーフィングによって同一ネットワーク内の通信を制御できるようになると、特定のデバイスに対して、大量の偽のARP要求を生成し送信し続けます。デバイスのCPUやメモリリソースが枯渇し、正常な動作ができません。

ARPスプーフィングを使用したDoS攻撃によって、社内システムへのアクセスを妨げ、業務に必要なサービスの利用停止を引き起こします。

ARPスプーフィングによる被害を防ぐための対策として、次の内容を紹介します。

• VPNを利用する
• パケットフィルターを導入する
• ポートセキュリティを強化する

それぞれの対策内容を詳しくみていきましょう。

VPNを利用する

VPNを利用することは、ARPスプーフィングによる被害を防ぐための効果的な対策の1つです。VPNは、共用の回線を諸々の技術によって仮想的に独立した専用回線であるかのように扱うシステムです。

VPNでは互いにデータをやり取りする2つの拠点間を仮想的なトンネルで隔絶することで、クローズドなネットワーク構成を可能にします。トンネルの内部では通信が暗号化されるため、たとえARPスプーフィングによって通信が傍受されたとしても、攻撃者は暗号化されたデータを解読できません。

パケットフィルターを導入する

パケットフィルターの導入も、ARPスプーフィングによる被害を防ぐための対策です。パケットフィルターは、ARPパケットに含まれる送信者と受信者のIPアドレスやMACアドレスを詳細に検査する機能を持っています。

フィルタリング技術では、ARPパケットの内容を分析し、有効な情報がない場合やMACアドレスとIPアドレスの組み合わせが不正確な場合にそのパケットをブロックすることで、ネットワークの安全性を向上させます。

偽のARPリクエストやレスポンスを識別し排除できるため、ARPスプーフィング攻撃の効果的な防止が可能です。

ポートセキュリティを強化する

ポートセキュリティの強化も、ARPスプーフィングによる被害を防ぐための効果的な対策の1つです。ポートセキュリティ対策は、許可されたデバイスのみが特定のポートに接続できるよう制限し、不正アクセスを防ぐ手段です。

ポートセキュリティ対策は、接続の真正性をデータリンク層レベルのMACアドレスでベース認証します。ネットワークスイッチの各ポートに特定のMACアドレスだけを登録することで、それ以外のデバイスからの接続を物理的に遮断できます。

まとめ

本記事ではARPスプーフィングを解説しました。ARPスプーフィングは、同一ネットワーク内での通信を傍受し改ざんするサイバー攻撃の1種です。ARPスプーフィングでは、攻撃者がARPプロトコルを悪用して正規のデバイスになりすまし、ネットワーク上の通信を自分のコンピュータを経由させることで情報窃取を行います。

ARPスプーフィングの対策としてVPNの利用やパケットフィルター、ポートセキュリティ強化が挙げられます。

セキュリティには網羅的な対策が不可欠であるため、ARPスプーフィングの脅威についても見直してみてはいかがでしょうか。