IPスプーフィングとは?

偽造ソースアドレスの偽装IPパケットは、検出されることを回避するために攻撃でよく用いられます。

Share facebook icon linkedin icon twitter icon email icon

IPスプーフィング

学習目的

この記事を読み終えると、以下のことができます。

  • IPスプーフィングの定義
  • DDoS攻撃におけるIPスプーフィングの利用方法に関する説明
  • IPスプーフィングの防御方法の説明

IPスプーフィングとは?

IPスプーフィングとは、送信者のID隠しや別のコンピューターシステムへのなりすましやその両方の目的で、修正したソースアドレスを持つインターネットプロトコル(IP)パケットを作成することです。ターゲットのデバイスまたは周囲のインフラストラクチャに対してDDoS攻撃を仕掛けるために、悪意のある者がよく使用する技術です。


IPパケットの送受信はネットワークに接続したコンピューターやその他のデバイスが通信する主な手段であり、現在のインターネットの基礎を構成しています。すべてのIPアドレスにはパケット本体に先行するヘッダーが含まれており、ヘッダーにはソースアドレスなどの重要なルーティング情報が含まれます。通常のパケットでは、ソースのIPアドレスはパケット送信者のアドレスです。パケットが偽装されている場合、ソースアドレスは偽造されます。

IPスプーフィングのDDoS攻撃

IPスプーフィングは、攻撃者がリストに間違った返信先アドレスを持つ人に荷物を送信することに似ています。荷物を受け取った人が送信者による荷物の送付を止めたい場合、偽アドレスからの全ての荷物を止めるのはあまり良い策ではありません。返信先のアドレスは簡単に変更されるためです。関連して、受信者っが返信先アドレスに応答したい場合、その応答パッケージは実際の送信者以外のどこかへ行ってしまいます。パケットのアドレスを偽装する機能は、多くのDDoS攻撃が悪用している主な脆弱性です。


DDoS攻撃はターゲットをトラフィックで溢れさせるという目的でなりすましを利用することが多く、同時に悪意あるソースのIDをマスキングして対策を回避します。ソースIPアドレスが偽造されて継続的にランダム化されると、悪意のあるリクエストのブロックは難しくなります。また、IPスプーフィングは法執行機関やサイバーセキュリティチームが攻撃の加害者を追跡することを困難にします。


スプーフィングは、別のデバイスになりすまして、代わりにそのターゲットデバイスに応答が送信される目的にも使用されます。NTPアンプDNSアンプといった帯域幅消費型攻撃はこの脆弱性を利用しています。ソースIPを変更する機能はTCP/IPの設計に固有のものであり、継続的なセキュリティ上の懸念事項となっています。

DDoS攻撃とは関係ありませんが、スプーフィングは認証を回避してユーザーセッションへのアクセスまたは「ハイジャック」を行うために、別のデバイスになりすます目的でも実行されます。

IPスプーフィングから保護する方法(パケットフィルタリング)

IPスプーフィングを防止することはできませんが、偽装パケットがネットワークに侵入するのを阻止する対策は取ることができます。スプーフィングに対する非常に一般的な防御は、BCP38(Best Common Practice文書)で述べられているイングレスフィルタリングです。イングレスフィルタリングとは、通常ネットワークエッジデバイスに実装されるパケットフィルタリングの形式のことで、受信IPパケットを検査しソースヘッダーを調べます。 パケットのソースヘッダーが送信元に合致しなかったり怪しく見えたりする場合、そのパケットは拒否されます。一部のネットワークはネットワークを出るIPパケットを調べる出力フィルタリングも実装しており、それらのパケットが正当なソースヘッダーを持つようにして、ネットワーク内の誰かがIPスプーフィングを使用して悪意のあるアウトバウンド攻撃を開始しないようにしています。