「スプーフィング」という軽い名前から判断すると、一見無害に見えるかもしれません。しかし、これはサイバー攻撃の中でも最も深刻な種類の一つであり、毎年数百万ドルもの損失をもたらしています。スプーフィング攻撃は検知が難しいため、攻撃者は数ヶ月間もネットワーク内に潜伏し、重要なデータを盗んだり、システムにマルウェアを注入したりするのに十分な時間を与えてしまいます。
深刻なスプーフィング攻撃は、あらゆる企業、特に資金面での余裕が少ない中小企業に壊滅的な打撃を与える可能性があります。そのため、すべての組織がスプーフィング攻撃への対策を講じ、その理解と予防に重点を置くことが不可欠です。
ここでは、スプーフィング攻撃の基本と、スプーフィング攻撃によってビジネスが損なわれるのを防ぐためにできることについて説明します。
スプーフィング攻撃とは何ですか?
サイバー攻撃が登場する以前は、「スプーフィング」という言葉は、単に面白おかしく模倣することを指すために使われていました。オンラインスプーフィング攻撃も、模倣行為を伴うことからその名が付けられましたが、そこには面白みは全くありません。実際、ランサムウェアなどのサイバー攻撃ほど報道されることはありませんが、スプーフィングはランサムウェアと同等、あるいはそれ以上に有害となる可能性があります。
簡単に言えば、スプーフィングとは、悪意のある目的や詐欺的な目的で、ある当事者またはデバイスを偽装し、別の当事者またはデバイスを騙す行為です。この定義は曖昧に聞こえるかもしれませんが、それはスプーフィングには様々な形態があり、それぞれに特徴があるためです。
最も一般的なスプーフィング攻撃の種類は次のとおりです。
スプーフィング攻撃の種類
1. IPアドレススプーフィング攻撃
IP アドレスのスプーフィングは、スプーフィング攻撃の最も一般的な形式の 1 つです。
IPパケットの伝送は、今日のネットワークデバイス間のほとんどの通信の基盤となっています。すべてのIPパケットには、パケット本体に加えて、送信元アドレスを含むヘッダーが含まれています。通常、この送信元アドレスはパケットの送信者のものです。しかし、IPスプーフィング攻撃では、攻撃者は偽装した送信元アドレスを持つIPパケットを作成し、送信します。
IPスプーフィングは、最も蔓延しているスプーフィング攻撃の一つであると同時に、最も多様な攻撃の一つでもあります。多くの場合、IPスプーフィングはDDoS(直接サービス拒否)攻撃を仕掛けるために使用され、悪意のあるIPパケットを正当なアドレスからのパケットに偽装することで、ネットワークに大量のトラフィックを流入させます。これらの攻撃で使用されるIPスプーフィングの手法は主に2つあります。
- マスクドボットネット方式:この方式では、攻撃者はボットネットデバイスを用いてサーバーに侵入し、攻撃を集中させます。偽装したアドレスを持つ複数のパケットを送信することで、デバイスの正体を隠蔽します。これにより、攻撃者は標的、法執行機関、そして多くのDDoS緩和ツールにも検知されることなく、DDoS攻撃を成功させることができます。
- 反射型攻撃手法:この手法では、攻撃者は標的のIPアドレスを偽装し、それを用いて偽造パケットリクエストを生成して他のネットワークデバイスに送信します。これにより自動応答がトリガーされ、大量のレスポンスパケットが標的に返送されます。この手法は、NTP増幅、DNS増幅、スマーフ攻撃など、様々な種類のDDoS攻撃で利用されます。
これらの攻撃手法に加えて、IPスプーフィングは信頼関係に基づくネットワークにおける認証を回避するためにも使用されます。これらのネットワークでは、ネットワークにアクセスしようとするデバイスのIDを確認するためにIPアドレスのみが必要です。これらのIPアドレスのいずれかを偽装することで、攻撃者はネットワークのセキュリティ対策を簡単に回避し、即座にアクセス権限を取得できます。
2. ARPスプーフィング攻撃
ARP スプーフィングは、頻繁に使用されるもう 1 つの攻撃であり、特にデータの盗難に関して、組織に非常に深刻な影響を及ぼす可能性があります。
データ転送に使用されるARP(アドレス解決プロトコル)は、IPアドレスとMAC(メディアアクセス制御)アドレスを関連付けるプロトコルです。ARPスプーフィング攻撃では、攻撃者は偽装したARP信号をネットワーク上に送信し、自身のMACアドレスをネットワーク上の正当なIPアドレスに関連付けます。攻撃が成功すると、悪意のある第三者はホストのIPアドレス宛てのデータを受信、ブロック、または改ざんできるようになります。
ARP攻撃の最も一般的な目的の一つは、標的から機密情報を盗むことです。しかし、ARPスプーフィングはDoS攻撃の一部としても利用され、標的のMACアドレスを複数のIPアドレスで解決することで、標的に大量のトラフィックを送りつけます。セッションハイジャック(セッションIDを盗んでシステムにアクセスする攻撃)や中間者攻撃(標的間のトラフィックを傍受する攻撃)も、ARPスプーフィングを利用して実行されます。
ARP スプーフィング攻撃を防ぐには、アドレス解決プロトコルを使用するネットワーク上でのみ実行できることに注意することが重要です。
3. DNSサーバースプーフィング攻撃
DNSスプーフィングは、攻撃者がネットワークIDを偽装することでシステムの脆弱性を悪用するもう一つの手法です。DNSスプーフィングの威力を理解するために、この脆弱性は2010年に米国に拡大した「グレート・ファイアウォール」にも起因しており、米国民がTwitterやFacebookなどの人気ウェブサイトにアクセスできなくなりました。
インターネットのコアシステムの一つであるドメインネームシステム(DNS)は、ドメインアドレスと対応するIPアドレスを紐付け、デバイスがインターネットリソースを効率的に利用できるようにしています。しかし残念ながら、他の多くの重要なシステムと同様に、DNSもなりすましによって悪用される可能性があります。
DNSスプーフィング攻撃では、攻撃者はDNSサーバーを操作して、ドメイン名を攻撃者が管理するIPアドレスにリダイレクトします。これは、攻撃者が機密データを盗んだり、マルウェアを拡散したりするための基盤として利用されます。場合によっては、攻撃者のIPアドレス上のウェブサイトが標的のウェブサイトと完全に模倣されているため、DNS攻撃の検知は非常に困難です。上記のすべての種類のスプーフィング攻撃と同様に、DNSスプーフィングは複数の方法を用いて、様々な目的で実行される可能性があります。
DNSスプーフィングの最もよく知られた形態の一つは、DNSキャッシュポイズニングです。DNSサーバーは他のサーバー間でキャッシュすることで速度と効率を維持していますが、これは攻撃に対して無防備な状態です。攻撃者が偽装したDNSエントリをサーバーに挿入すると、そのサーバーに接続するすべてのノードは、キャッシュが期限切れになるまでそのエントリを使用します。さらに悪いことに、他のサーバー(家庭用ルーターサーバーなど)が侵害された標的サーバーから情報を取得している場合、DNSポイズニングは迅速かつ容易に拡散する可能性があります。DNSスプーフィングは、中間者攻撃などにも利用される可能性があります。
スプーフィング攻撃を防ぐには?
スプーフィング攻撃が組織に損害を与えるために一般的にどのように利用されているかを理解すれば、その予防方法もより深く理解できるようになります。重要なのは、ほとんどの場合、悪意のある者によるスプーフィング攻撃を阻止する方法がないということです。したがって、スプーフィングを防ぐ最善の方法は、ネットワークにセキュリティ層を追加し、攻撃を阻止することです。以下に、利用可能なセキュリティ対策をいくつかご紹介します。
パケットフィルタリングを使用する
スプーフィング攻撃を総合的に防ぐ最も効果的な方法の一つは、パケットフィルタリングです。入力パケットフィルタリングは、すべての受信パケットを監視し、送信元と送信元アドレスが重複するパケットをすべて捕捉してブロックするファイアウォール技術です。また、出力パケットフィルタリングという2つ目のフィルタリング形式もあります。これは送信パケットに対して同様の処理を行い、攻撃者がネットワーク内部から攻撃を開始するのを防ぎます。パケットフィルタリングは、IPスプーフィングの防止手段として最も一般的に使用されますが、MACアドレスとIPアドレスの重複を監視するARPスプーフィング対策としても有効です。
暗号化されたプロトコルを使用する
もう一つの非常に効果的な予防方法は、HTTPS(HTTPセキュア)、SSH(セキュアシェル)、TLS(トランスポート層セキュリティ)といった安全な暗号化ネットワークプロトコルを使用することです。これらのプロトコルは送信データを暗号化し、受信データを認証するため、たとえスプーフィング攻撃を実行したとしても、攻撃者がこれらのデータを傍受したり改ざんしたりするのを防ぎます。
信頼関係を使わない
前述の通り、IPスプーフィングは、信頼関係を認証手段として利用することで、あらゆるネットワークへの不正アクセスに利用される可能性があります。これは、あらゆる組織にとって壊滅的な結果をもたらす可能性があります。当然のことながら、このスプーフィングを防ぐ最善の方法は、ネットワーク上で信頼関係を利用しないことです。ログインは、デバイスを認証する上ではるかに安全な方法です。
なりすまし検出ソフトウェアを使用する
ウイルス対策ソフトウェアがマルウェアをブロックする最良の方法の一つであるのと同様に、なりすまし対策ソフトウェアはなりすまし攻撃をブロックするための有効な手段となります。このソフトウェアは、すべてのデータ通信を検査・検証し、なりすましと判断された送信を捕捉・ブロックします。なりすまし検知ソフトウェアは、なりすまし対策の唯一の手段として頼りにすべきではありませんが、セキュリティを強化するための有効な手段です。
VPNを入手する
最後に、VPNは組織が活用すべき優れた総合的なセキュリティツールです。VPN(Virtual Private Networkの略)は、デバイスからのすべてのトラフィックを暗号化します。これにより、たとえなりすまし攻撃の被害に遭っても、攻撃者はデータを傍受したり改ざんしたりできなくなります。サイバーセキュリティ対策としてお勧めのVPNの一つはNordVPNですが、他にも優れたVPNは数多く存在するため、慎重に選ぶ必要があります。
結局のところ、なりすまし攻撃の被害に遭うリスクを減らす最善の方法は、可能な限り多くの方法でセキュリティを強化することです。上記の提案はすべて保護に役立ちますが、どれか1つが完全な解決策となるわけではありません。あらゆる予防策を講じることで、可能な限り多くの角度から保護されるようになり、これは多種多様な攻撃に対して重要な意味を持ちます。
