ARPスプーフィングとは?

ARPスプーフィング攻撃では、ハッカーは偽のARP(アドレス解決プロトコル)メッセージを送信し、他のデバイスが誰かと話しているように見せかけます。ハッカーは、2つの機器間を流れるデータを傍受し、監視することができます。

コンピュータやネットワークの利用が飛躍的に増加したことにより、サイバー犯罪は驚くほど増加しています。ハッカーや非倫理的なネットワークへの攻撃は、情報を奪い、デジタル騒乱を引き起こす継続的な脅威となっています。

ここ数ヶ月、ニュースなどで「ARPスプーフィング」という言葉をよく目にしますが、これは、ハッカーがネットワーク上の2つのデバイス間のトラフィックを傍受するための手法です。

What is ARP?

What is ARP? ARP stands for Address Resolution Protocol. It is a protocol used to map a network address, such as an IP address, to a physical (MAC) address on a local network. This is necessary because IP addresses are used for routing packets at the network layer, while MAC addresses are used for actually forwarding the packets on a specific link. ARP allows a device to determine the MAC address of another device on the same network, based on its IP address.

When a device wants to communicate with another device on the same network, it needs to know the MAC address of the destination device. ARP allows the device to broadcast a message on the local network, asking for the MAC address corresponding to a specific IP address. The device with that IP address will respond with its MAC address, allowing the first device to communicate directly with it.

ARP is a stateless protocol, meaning that it doesn’t maintain a table of mapping between IP and MAC addresses. Each time a device needs to communicate with another device on the network, it sends an ARP request to resolve the other device’s MAC address.

It’s worth mentioning that ARP is used in IPv4 networks, in IPv6 networks, a similar protocol is called Neighbor Discovery Protocol (NDP).

ARPスプーフィングとはどのような仕組みなのか?

ARPスプーフィング攻撃は、2つの方法のいずれかで実行することができます。

最初の方法ハッカーは、特定のデバイスの ARP リクエストにアクセスするために時間をかけて待ちます。ARPリクエストの受信後、即座に回答が送信されます。この方法は秘密裏に行われるため、ネットワークはこの方法を即座に認識することはできません。影響という点では、あまり悪影響はなく、その範囲も非常に狭い。

2つ目の方法ハッカーは、"gratuitous ARP "と呼ばれる不正なメッセージを拡散します。この配信方法は、一度に多数のデバイスに即座に影響を与えることができるかもしれません。しかし、大量のネットワークトラフィックを発生させ、管理が困難になることも覚えておいてください。

ARPスプーフィングを使用するのは誰か?

ハッカーは、1980年代からARPスプーフィングを使用しています。ハッカーによる攻撃には、意図的なものと衝動的なものがあります。サービス拒否攻撃は計画的な攻撃の例であり、公衆WiFiネットワークからの情報窃盗は日和見主義の例である。これらの攻撃は回避できるかもしれませんが、技術的・コスト的に簡単なため、定期的に実行されています。

しかし、ARPスプーフィングも立派な目的のために利用されることがあります。プログラマーは、2つのホストの間に意図的に第3のホストを導入することで、ARPスプーフィングを使用してネットワークデータを分析することができます。倫理的なハッカーは、ARPキャッシュポイズニング攻撃を再現し、そのような攻撃からネットワークを保護することを保証します。

ARPスプーフィング攻撃の目的とは?

ARPスプーフィング攻撃の主な狙いは以下の通りです。

  • 複数のARPレスポンスをネットワーク全体にブロードキャストするため
  • スイッチのMACアドレステーブルに偽のアドレスを挿入するために
  • MACアドレスとIPアドレスの関連付けが誤っているため
  • ネットワークホストへのARPクエリの送信回数が多すぎるため

ARPスプーフィング攻撃が成功すると、攻撃者は以下のことが可能になります。

  • メッセージをそのままルーティングし続ける。HTTPSのような暗号化された経路で送信されない限り、攻撃者はパケットを盗聴してデータを盗むことができます。
  • セッションハイジャックを行う。攻撃者がセッションIDを取得すると、そのユーザーの有効なアカウントにアクセスできる。
  • 分散型サービス拒否(DDoS)。攻撃者は、自分のマシンを使ってDDoS攻撃を行う代わりに、標的とするサーバーのMACアドレスを指定する場合があります。この攻撃を複数のIPアドレスに対して行うと、ターゲットとなるサーバーにトラフィックが殺到することになります。
  • 通信を変更すること。有害なウェブページやファイルをワークステーションにダウンロードすること。

ARPスプーフィングを検出するには?

ARP Spoofingを検出するには、構成管理およびタスクオートメーションソフトウェアを確認してください。ARPキャッシュの場所は、ここで確認できます。2つのIPアドレスが同じMACアドレスを持っている場合、攻撃のターゲットになる可能性があります。ハッカーは頻繁にスプーフィングソフトウェアを使用し、デフォルトゲートウェイのアドレスと主張するメッセージを送信します。

また、このマルウェアが被害者を説得して、デフォルトゲートウェイのMACアドレスを別のものに交換させることも考えられます。このような状況では、ARPトラフィックをチェックして、奇妙なアクティビティがないか確認する必要があります。ルーターの MAC または IP アドレスを所有すると主張する未承諾メッセージは、通常、トラフィックの奇妙なタイプです。したがって、不要な通信は、ARPスプーフィング攻撃の症状である可能性があります。

ARPスプーフィングからシステムを守るには?

ARPポイズニングはいくつかの方法で回避することができ、それぞれにメリットとデメリットがあります。 

ARPスタティック・エントリー

この方法は、管理負荷が大きいため、小規模なネットワークでのみ使用する必要があります。これは、ネットワーク上の各マシンのために、各コンピュータにARPレコードを追加することを必要とします。

コンピュータはARP応答を無視することができるため、固定IPとMACアドレスのセットでマシンをマッピングすることで、なりすましの試みを防ぐことができます。残念ながら、この方法は、より簡単な攻撃からあなたを保護するだけです。

パケットフィルター

ARPパケットには、送信者と受信者のIPアドレスとMACアドレスが含まれています。これらのパケットは、イーサネットネットワーク上で送信されます。パケットフィルターは、有効な送信元または送信先のMACアドレスまたはIPアドレスを含んでいないARPパケットをブロックすることができます。

港の安全対策

ポートセキュリティ対策は、許可されたデバイスのみがデバイスの特定のポートに接続できるようにするものです。例えば、あるコンピューターがサーバーの80番ポートでHTTPサービスとの接続を許可されているとします。この場合、事前に許可されていない他のコンピューターには、同じサーバーのポート80のHTTPサービスとの接続を許可しません。

VPN

仮想プライベートネットワーク(VPN)は、インターネット上での安全な通信を提供します。VPNを使用する場合、ユーザーのインターネット・トラフィックは暗号化され、仲介サーバーを経由してトンネル化されます。この暗号化により、攻撃者が通信を盗聴することは非常に難しくなります。最近のほとんどのVPNは、DNSリーク保護を実装しており、DNSクエリを通じてトラフィックがリークされないことを保証します。

暗号化

暗号化は、ARPスプーフィングから身を守るための最良の方法の一つです。VPNや、HTTPS、SSH、TLSなどの暗号化されたサービスを利用することができます。ただし、これらの方法は確実ではなく、すべての種類の攻撃に対して強力な保護ができるわけではありません。

まとめ

ARPポイズニングのリスクからネットワークを保護するためには、予防と検出の技術を組み合わせることが理想的な戦略です。最も安全な環境であっても、特定の状況下では予防策に誤りがあることが多いため、攻撃を受ける可能性があります。

アクティブな検出技術も導入されている場合、ARPポイズニングが始まるとすぐに気づくことができます。ネットワーク管理者が通知を受けた後、迅速に対応すれば、通常、大きな被害が出る前にこれらの攻撃を阻止することができます。

ダイレクトドメインスプーフィングなどの他のタイプのスプーフィング攻撃から保護する場合、DMARアナライザーを使用することができます。 DMARCアナライザーを使用して送信者を認証し、不正なメールに対処することができます。