ARPポイズニング(スプーフィング)攻撃とは 定義と手法、防御と対策

ARPポイズニング(スプーフィング)攻撃とは 定義と手法、防御と対策

ARPポイズニング(スプーフィング)攻撃とは 定義と手法、防御と対策

ARPポイズニング攻撃(ARPスプーフィング攻撃とも呼ばれます)とは、悪意のあるARPメッセージを介して実行されるサイバー攻撃の1つです。

ARPポイズニング攻撃は検知が難しく、一度配置されると放置できない影響を及ぼします。

ARPスプーフィングまたはARPポイズニングを成功させたハッカーは、ネットワーク上のすべてのドキュメントを制御できるようになります。つまりAPRポイズニング攻撃を受けてしまうと、情報を収集される可能性があります。また、要求された身代金をハッカーに支払うまでトラフィックが止まる可能性もあります。

ここでは、ARPポイズニング攻撃の仕組みについて説明し、サーバーを安全に保つために今すぐ実行できるソリューションをいくつか紹介します。

→Okta Japanの資料請求はこちら

ARP Poisoning Spoofing

ARPとは?

2001年、Unix開発者向けにアドレス解決プロトコル(ARP)が導入されました。このプロトコルは当初、新しいホストへのIPレベルの接続を確立するための「馬力」を発揮するものと説明されました。

特にネットワークが絶えず拡大し、各要求を自分で承認せずに新しい機能を追加する方法が必要な状況において、その役割は重大です。

ARPの基本はメディアアクセス制御(MAC)です。専門家が説明するように、MACはイーサネットネットワークインターフェイスカード(NIC)に固有のハードウェアレベルのアドレスです。番号は工場で割り当てられますが、ソフトウェアによって変更できます。

理論的には、ARPは以下の機能を提供します。

  • 要求の受け入れ:新しいデバイスは、ローカルエリアネットワーク(LAN)への参加を要求し、IPアドレスを提供します。
  • 変換:LAN上のデバイスはIPアドレスを介して通信しません。ARPはIPアドレスをMACアドレスに変換します。
  • 要求の送信:ARPがIPアドレスに使用するMACアドレスを知らない場合、ARPパケット要求を送信します。この要求は、ネットワーク上の他のマシンにクエリを実行して不足情報を取得します。

この機能により、ネットワーク管理者は時間を大幅に節約できます。要求は背景で処理され、ネットワークが必要なクリーンアップをすべて実行します。しかし、危険は残っています。

ARP攻撃:重要な定義

重要データへのアクセスを目論む悪意ある開発者は、脆弱性を暴露して内部に潜入する可能性があり、被害者はこのような行為に気が付かないことがあります。

ARP攻撃には、スプーフィングとポイズニングの2つのタイプがあります。

  • ARPスプーフィング攻撃:ハッカーは、LAN上に存在するコンピュータのIPアドレスに攻撃者のMACアドレスをリンクする偽のARPパケットを送信します。
  • ARPポイズニング攻撃:ARPスプーフィング攻撃が成功した後、ハッカーは企業のARPテーブルを変更し、テーブルが改ざんされたMACマップを含むようになります。これにより、伝染が拡散します。

攻撃の目標は、ハッカーのMACとLANをリンクすることです。結果として、侵害されたLANに送信されたトラフィックが、代わりに攻撃者に送られるようになります。

ARP攻撃が成功すると、ハッカーは以下を実行できます。

  • 乗っ取り:LANに送られるすべての情報を、解放前に確認できます。
  • サービス拒否:身代金が支払われない限り、感染したLANから情報を解放することを拒否できます。
  • 中間者攻撃:中間者攻撃により、送信前の文書を改善するなど、ほぼ何でも実行できます。この攻撃は、機密性を脅かし、ユーザーの信頼を損ないます。誰にでも実行可能な最も危険な攻撃の1つです。

ハッカーがエンドホストを乗っ取ろうとする場合は、迅速に実行する必要があります。ARPプロセスは60秒程度で期限が切れます。しかし、要求はネットワーク上に最長で4時間ほど残ることがあります。したがって、ハッカーが攻撃を熟考して実行するのに十分な時間があります。

ARPの既知の脆弱性

スピード、機能性、自律性は、ARPが開発されたときの目標でした。プロトコルはセキュリティを念頭に置いて作られたものではなく、攻撃者が簡単に偽装/調整できることが証明されています。

ハッカーはいくつかのツールを使うだけで攻撃を実行できます。

  • 接続:攻撃者はLANに接続された1台のマシンを制御する必要があります。または、ハッカーがすでにLANに直接接続していれば、より好都合です。
  • コーディングのスキル:ハッカーは、システムに即座に許容または格納されるARPパケットを記述する方法を知っている必要があります。
  • 外部ツール:ハッカーは、Arpspoofなどのスプーフィングツールを使用して、改ざんなどによる不正なARP応答を送信する可能性があります。
  • 忍耐:システムに速やかに侵入するハッカーもいますが、他のハッカーはLANをだます前に、数十または数百の要求を送信する必要があります。

ARPはステートレスであり、ネットワークはARP応答をキャッシュする傾向があります。ハッカーの滞