情報セキュリティマネジメント試験 用語辞典
- 分野:
- 情報セキュリティ » サイバー攻撃手法
- 重要度:
(Wikipedia IPスプーフィングより)
IPスプーフィング(アイピースプーフィング)とは、IP通信において、送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし」(英:spoofing)を行う攻撃手法を指す。ハッキング、サイバーテロ(サイバー攻撃)の一つ。より原義に近い形としてIPアドレススプーフィングと呼ぶこともある。
概要
IP通信において、不正アクセスを防止する観点からリシーに基づくフィルタリングを行うケースは多く、「特定のIPアドレスからの接続のみ可能」といったアクセス制限が施されている場合がある。このようなアクセス制限が施されている状況下にあっても、送信元IPアドレスを詐称することができればアクセス制限を迂回できてしまうため、攻略対象システムへの不正アクセスを成功させる可能性が高まる。また、攻略対象システムに残されるログにも詐称されたIPアドレスが記録されるため、攻撃者が攻略対象システムの管理者による追跡を逃れられる可能性が高まる。このような観点から、不正侵入等を目的とした不正アクセスにおいてはIPスプーフィングが有用とされている。
DoS攻撃(SYN flood、Smurf attack、ping of death、ping floodなど)では、攻撃対象のサービス提供を妨害することが主目的である。このような攻撃がごく少数のIPアドレスから行なわれている場合、それらのIPアドレスからのアクセス制限を施すことが攻撃への有効な対策となる。しかし、IPスプーフィングを用いて攻撃元を詐称すると、このような対策は無効となる。また、攻撃元を詐称することで本当の攻撃元の特定が困難となり、攻略対象システムの管理者からの追跡を逃れられる可能性が高まる。このような観点からDoS攻撃におけるIPスプーフィングは有用であり、現実にはほぼこの攻撃手法が併用されている。
原理
IP通信におけるパケットのヘッダ部分には、送信元IPアドレスが含まれている。通常、パケットのヘッダ部分の送信元IPアドレスには、パケット送信者自身のIPアドレスをセットする。これにより、パケットを受けた受信者は送信者IPアドレスを正しく把握することができ、そのIPアドレスに対するサービス提供の決定およびサービス提供開始を行うことができる。また、送信元IPアドレスが、サービス提供が許されていないIPアドレスやDoS攻撃を行なってくるIPアドレスであれば、アクセスを拒否することが可能となる。しかし、パケットのヘッダ部分の送信元IPアドレスが詐称されていると、これらの事情は大きく変わってくる。
インターネットに接続された環境では「WANは危険だがLAN内は比較的安全」という考えで、送信元IPアドレスがLAN内のIPアドレスであればさほど強くアクセス制限を施していないケースが見られる。このようなケースで、本来であればWANからのアクセスであるにも関わらず、パケットのヘッダ部分の送信元IPアドレスにLAN内のIPアドレスを指定したパケットを送り込むことに成功すれば、攻略対象は接続が許可されているLANからのアクセスであると誤解し、サービスを提供してしまう可能性がある。もっとも、不正侵入等を目的とした不正アクセスでは、単純にパケットを一つ送り込むだけでは不充分である。特にTCPによる通信の場合、3ウェイ・ハンドシェイクでコネクションを確立する必要があり、TCPシーケンス番号予測攻撃などを併用してTCPセッションの確立を装う必要がある。(UDPはコネクションレス型の通信なのでコネクションの確立は不要である。)
DoS攻撃においてはセッション確立といった困難な事情はないため、単純に攻撃元を詐称したパケットを用いるだけで、アクセス元を特定することやアクセス制限の対象となるアクセス元を決定することは困難となる。このように、コストパフォーマンスの観点から、DoS攻撃にはIPスプーフィングがほぼ併用される。
対策
不正侵入等を目的とした不正アクセスにおいてはTCPセッションの確立がほぼ必須となるため、TCPシーケンス番号予測攻撃への対策を施すという手がある。昨今のシステムであればRFC1948で示された対策はほぼ施されていると考えられる。古いシステムであれば、IPSec等の暗号化されたプロトコルを使用するという方法がある。このような事情から、最近の対策は不正侵入等を目的とした不正アクセスよりも、DoS攻撃に主眼が置かれている。
途中経路上での対策として、IPスプーフィングが疑われるパケットを破棄する対策が有効となる。例えば、WANとLANの境界線上にあるルータ上のフィルタリングルールに、「IPアドレスのみを用いたルール」を使用するのではなく、「通過するネットワークアダプタを考慮した上での、IPアドレスを併用したルール」を使用するといった対策である。例を挙げると、WANからLAN行きのパケットが送信元も送信先もLAN内のIPアドレスを示しているなら、IPスプーフィングが疑われる。また、ループバックデバイス以外のデバイスにlocalhostの送信元IPアドレスを持つパケットが到達すれば、そのケースもIPスプーフィングが非常に強く疑われる。後者についていえば、IPv6では、localhostの送信先IPアドレスを持つIPv6パケットをルータは配送してはならないと、RFC3513で明確に規定されている。なお、この手法は不正侵入等を目的とした不正アクセスに有効な対策である上に、攻撃者が所属するプロバイダの出口部分のルータに施されている場合は、DoS攻撃に対しても有効な対策となり得る。
DoS攻撃発生時に攻撃者IPアドレスを特定する手法として、「IPパケットに経由ルータの情報を断片化して盛り込む(マーキング)手法」や「各経由ルータが通過パケットのハッシュ値を蓄えておき、DoS攻撃が発生した場合に近隣のルータに通知することで同一ハッシュ値の通過ルートを特定する手法(uRPF、RFC3704)」などが検討されている。但し、パケット配送時のオーバーヘッドなどの問題から現実的なものとはなっていない。
出題例
- 金融機関や有名企業などを装い,電子メールなどを使って利用者を偽のサイトへ誘導し,個人情報などを取得すること
- 侵入を受けたサーバに設けられた,不正侵入を行うための通信経路のこと
- 偽の送信元IPアドレスをもったパケットを送ること
- 本人に気付かれないように,利用者の操作や個人情報などを収集すること
正解
- 総当たり攻撃
- 辞書攻撃
- パスワードリスト攻撃
- レインボーテーブル
- サイドチャネル攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- ドライブバイダウンロード
- SQLインジェクション
- ディレクトリトラバーサル
- ディレクトリリスティング
- OSコマンドインジェクション
- 中間者攻撃
- MITB攻撃
- 第三者中継
- DNSキャッシュポイズニング
- DNS水責め攻撃
- IPスプーフィング
- セッションハイジャック
- セッションID固定化攻撃
- リプレイ攻撃
- DoS攻撃
- DDoS攻撃
- EDoS攻撃
- メールボム
- 標的型攻撃
- APT
- 水飲み場型攻撃
- フィッシング
- ワンクリック詐欺
- スミッシング
- ゼロデイ攻撃
- テンペスト攻撃
- ポートスキャン
- ダウングレード攻撃
- フットプリンティング
- SEOポイズニング
- 情報セキュリティの考え方(10)
- 情報セキュリティの重要性(2)
- 脅威(23)
- 脆弱性(2)
- 不正のメカニズム(1)
- 攻撃者の種類(3)
- 攻撃の動機(1)
- サイバー攻撃手法(38)
- 暗号技術(11)
- 認証技術(5)
- 利用者認証(8)
- 生体認証技術(3)
- 公開鍵基盤(6)
このページのWikipediaよりの記事は、ウィキペディアの「IPスプーフィング」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。