MailData

ARPなりすまし:ARPなりすまし攻撃の目的とは?

ARPなりすまし:ARPなりすまし攻撃の目的とは?

IPアドレスとMACアドレスの関連付けを書き換える

2023年5月2日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 ARP Spoofing: What Is the Aim of an ARP Spoofing Attack? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

ARPなりすまし攻撃では、ハッカーは偽のARP(アドレス解決プロトコル)メッセージを送信して、他のデバイスが別の誰かと話していると信じ込ませることで、2つのデバイス間で流れるデータを傍受および監視します。
コンピュータやネットワークを利用したコミュニケーションの急速な成長により、サイバー犯罪は驚くべき速さで増加しています。
ハッカーや不正なネットワーク攻撃は、情報を奪い、デジタルな混乱を引き起こす持続的な脅威をもたらしています。

過去数ヶ月間、ニュースで「ARPなりすまし」という用語がかなり取り上げられています。
これはネットワーク上の2つのデバイス間のトラフィックをハッカーが傍受するための手法です。

ARPとは?

ARPとは何でしょう?
ARPはAddress Resolution Protocol(アドレス解決プロトコル)の略です。
これは、IPアドレスのようなネットワークアドレスを、ローカルネットワーク上の物理(MAC)アドレスにマッピングするために使用されるプロトコルです。

IPアドレスはネットワーク層でパケットをルーティングするために使用され、MACアドレスは特定のリンク上でパケットを実際に転送するために使用されるので、ARPは必要不可欠なものです。
ARPを使用すると、デバイスはIPアドレスに基づいて、同じネットワーク上の別のデバイスのMACアドレスを特定することができます。

デバイスが同じネットワーク上の別のデバイスと通信する場合、宛先デバイスのMACアドレスを知る必要があります。
ARPを使用すると、デバイスはローカルネットワーク上でメッセージをブロードキャスト(ネットワークに存在する全てのデバイスに信号やデータを送信)し、特定のIPアドレスに対応するMACアドレスを要求することができます。
すると、そのIPアドレスを持つデバイスは自分のMACアドレスで応答し、最初のデバイスが直接通信できるようになります。

ARPはステートレス※なプロトコルであり、つまり、IPアドレスとMACアドレスのマッピングテーブルを保持しません。
デバイスがネットワーク上の別のデバイスと通信するたびに、デバイスはARPリクエストを送信して、他のデバイスのMACアドレスを解決します。
なお、ARPはIPv4ネットワークで使用されており、IPv6ネットワークでは、類似のプロトコルがNeighbor Discovery Protocol(NDP)と呼ばれています。

※訳注:ステートレスとは、入力の内容によってのみ出力が決まり、内部にデータを保存しない形式をさします。

ARPなりすましとはどのような仕組みか?

ARPなりすまし攻撃は、2つの方法のいずれかで実行することができます。

最初の方法では、ハッカーは特定のデバイスのARPリクエストにアクセスするために時間をかけて待ちます。
ARPリクエストの受信後、すぐに回答が送信されます。

この方法は秘密裏に行われるため、ネットワークは即座に認識することはありません。
影響という点では、あまり悪影響はなく、その範囲も非常に狭いです。

2つ目の方法では、ハッカーが「Gratuitous(無償)ARP」と呼ばれる不正なメッセージを広めます。
この配信方法は、一度に多数のデバイスにすぐに影響を与える可能性があります。
しかし、大量のネットワークトラフィックを発生させ、管理が困難になることも覚えておいてください。

ARPなりすましを使用するのは誰か?

ハッカーは、1980年代からARPなりすましを使用しています。
ハッカーによる攻撃には、意図的なものと衝動的なものがあります。

サービス拒否(DoS)攻撃は計画的な攻撃の例であり、一方、公共のWi-Fiネットワークからの情報窃盗は日和見主義的※な攻撃の例です。
これらの攻撃は避けることができるかもしれませんが、技術的にもコスト的にも簡単であるため、定期的に実行されています。

※訳注:「日和見主義的」とは、その時の状況によって攻撃者が都合よく行える攻撃である、という意味です。

しかし、ARPなりすましも立派な目的のために利用されることがあります。
プログラマーは、2つのホストの間に意図的に第3のホストを導入することで、ARPなりすましを使用してネットワークデータを分析することができます。
倫理的なハッカーは、ARPキャッシュポイズニング攻撃を再現し、そのような攻撃からネットワークを保護することを保証します。

ARPなりすまし攻撃の目的とは?

ARPなりすまし攻撃の主な狙いは以下の通りです。

ARPなりすまし攻撃が成功すると、攻撃者は以下のことが可能になります。

ARPなりすましを検出するには?

ARPなりすましを検出するには、構成管理およびタスク自動化ソフトウェアを確認してください。
ARPキャッシュの場所は、ここで確認できます。
2つのIPアドレスが同じMACアドレスを持っている場合、攻撃のターゲットになる可能性があります。

ハッカーは頻繁になりすまし用ソフトウェアを使用し、デフォルトゲートウェイのアドレスであると主張するメッセージを送信します。
また、このマルウェアが被害者に、デフォルトゲートウェイのMACアドレスを別のものに置き換えるよう説得することも考えられます。
このような状況では、ARPトラフィックを調べて、異常なアクティビティがないかを確認する必要があります。

ルータのMACまたはIPアドレスを所有していると主張する一方的なメッセージは、通常、奇妙な種類のトラフィックです。
したがって、不要な通信は、ARPなりすまし攻撃の兆候である可能性があります。

ARPなりすましからシステムを守るには?

ARPポイズニングはいくつかの方法で回避でき、それぞれにメリットとデメリットがあります。

ARPの静的なエントリ

この方法は、管理負荷が大きいため、小規模なネットワークでのみ使用するべきです。
これは、ネットワーク上の各マシンに対してARPレコードを追加することが含まれます。

コンピュータはARP応答を無視できるため、固定IPアドレスとMACアドレスを組み合わせて、マシンをマッピングすることで、なりすましを防止するのに役立ちます。
しかし残念ながら、この方法を使っても、簡単な攻撃から身を守ることができるだけです。

パケットフィルタ

ARPパケットには、送信者と受信者のIPアドレスのMACアドレスが含まれています。
これらのパケットは、イーサネットのネットワーク上で送信されます。
パケットフィルタは、有効な送信元または送信先のMACアドレスもしくはIPアドレスを含んでいないARPパケットをブロックできます。

ポートのセキュリティ対策

ポートのセキュリティ対策は、許可されたデバイスのみがデバイスの特定のポートに接続できるようにするものです。
例えば、あるコンピュータがサーバの80番ポートでHTTPサービスとの接続を許可されていたとします。
この場合、以前に許可されたものでない限り、他のコンピュータは同じサーバのポート80番のHTTPサービスとの接続を許可されません。

VPN

仮想プライベートネットワーク(VPN)は、インターネット上での安全な通信を提供します。
VPNを使用する場合、ユーザのインターネットのトラフィックは暗号化され、中間サーバを経由してトンネリング(訳注:閉じられた仮想的な直結回線化)されます。

この暗号化により、攻撃者が通信を傍受することは非常に難しくなります。
現代のVPNのほとんどは、DNSリーク保護を実装しており、DNSクエリを通じてトラフィックがリークされないことを保証します。

暗号化

暗号化は、ARPなりすましから身を守る最善の方法の1つです。
VPNや、HTTPS、SSH、TLSなどの暗号化されたサービスを利用できます。
ただし、これらの方法は確実ではなく、すべての種類の攻撃に対して強力な保護が得られるわけではありません。

まとめ

ARPポイズニングのリスクからネットワークを保護したい場合、予防と検出の技術を組み合わせるのが理想的な戦略です。
特定の状況下では予防策はしばしば失敗するため、最も安全な環境であっても、攻撃にさらされる可能性があります。

能動的な検出技術も導入されていれば、ARPポイズニングが開始されるとすぐに気づくことができます。
ネットワーク管理者が通知を受けた後、迅速に対応すれば、通常、大きな被害が出る前にこれらの攻撃を阻止できます。

直接ドメインなりすましなどの他のタイプのなりすまし攻撃から身を守るには、DMARCアナライザを使用して送信者を認証し、不正なメールに対して対処することです。
DMARCアナライザはPowerDMARCのトライアルでご利用いただけます。こちらからお問い合わせください。