サイバー攻撃にはさまざまな手法があるが、いわゆる「なりすまし」による攻撃もそのひとつだ。なりすましは、英語ではSpoofing、スプーフィング攻撃とも呼ばれる。昔からあるサイバー攻撃の手法ながら、より高度化が進み、被害を受けるケースも増えている。そこで本記事では、スプーフィング攻撃の種類やその事例、対策を解説する。
高度化が進む「スプーフィング攻撃」とは何か
サイバー攻撃の犯罪スキルは年々巧妙化しており、対策の難易度も上がってきている。スプーフィング攻撃も代表例のひとつとして挙げることができる。ハッカーがデータを盗み、マルウェアを拡散、アクセスコントロールを迂回するという目的を達成するために、ネットワーク上の別のデバイスまたはユーザーになりすますことであり、日本語では「なりすまし攻撃」と呼ばれる。
スプーフィング攻撃は、決して新しい攻撃手法ではなく古くからある攻撃ではあるものの、より高度化・巧妙化が進んでおり、被害も増加傾向にある。特に、大手企業になりすましたメールによるスプーフィング攻撃は年々増加しており、うっかりURLをクリックしてフィッシングサイトに飛ばされ被害に遭うといった事例も数多く発生している。悪質な手法が増えていることもあり、スプーフィング攻撃への対策が急務となっている。
スプーフィング攻撃の種類
スプーフィング攻撃は、なりすましの対象によって、大きく「IPスプーフィング」、「メールスプーフィング」、「DNSスプーフィング」、「ARPスプーフィング」の4つに分類される。
- IPスプーフィング
その名の通り、送信元のIPアドレスを偽装して攻撃を行うことである。IPスプーフィングで攻撃元を隠ぺいし、サーバーやネットワークなどのリソースに意図的に過剰な負荷をかけることでサービスを妨害するDoS攻撃(Denial of Service Attack サービス拒否攻撃)やDDoS攻撃(Distributed Denial of Service Attack 分散型サービス拒否攻撃)の際に手法として組み込まれることが多い。 - メールスプーフィング
メールヘッダーを偽装することで、あたかも実際とは異なる送信者によるメールであるかのようにみせかけること。実際には、メールヘッダーだけでなくメールの文面も真似ており、文面の内容も年々巧妙になっているため、注意を払わなければ信じ込んでしまうケースも少なくない。フィッシングメールと呼ばれることもある。
フィッシングメールの例としては、以下のように大手企業になりすまして偽の警告を行うものが見られる。 - DNSスプーフィング
URLを実際のデータのインターネット上の住所である「IPアドレス」と対応づける「名前解決」のためのDNS(Domain Name System)サーバー上で、その対応関係を不正な手段で書き換える手法。スマホやパソコンからのDNSへのURLリクエストに対し、偽のサイトへの誘導を狙う。代表的な攻撃手法の例として、ネットワーク上のプログラムとサーバーとの間に攻撃者が侵入・介在するMITM(Man in the middle attack)攻撃や、DNSサーバーのキャッシュ機能を悪用して偽のDNS情報を問い合わせたユーザーに返信させるDNSキャッシュポイズニングなどがある。 - ARPスプーフィング
ARP(Address Resolution Protocol)とは、既知のIPアドレスから未知のMACアドレス(ネットワーク機器に一意に割り当てられる物理アドレス)を得るためのプロトコルである。ARPスプーフィングとは、ARPの応答を偽装することによって、LAN上でネットワーク機器のなりすましを行う攻撃手法のこと。ルーターになりすますと、LANからWANへの通信をことごとく盗聴できてしまうため、ユーザーへの影響は深刻・甚大になる恐れがある。
スプーフィング攻撃の事例
スプーフィング攻撃は、単体ではあまり意味をなさない。スプーフィングで相手を油断させてフィッシングサイトに誘導する、マルウェアを仕込んだ添付ファイルをクリックさせるといったように目的に対する手段として組み合わせて用いられることが前提となる。例えば、IPスプーフィングによって、企業の社内LANに不正侵入し顧客情報、機密情報、社員の個人情報を窃取する、Webサイトを改ざんしてフィッシング詐欺に利用するといった被害が報告されている。中でもDNSスプーフィングは影響の範囲が大きく、過去には国家規模の組織が関わっていた事例もある。
スプーフィング攻撃への対策
スプーフィング攻撃への対策としては、利用者のセキュリティ意識の向上が最も重要であるが、社内LANの運用方法を変更する、セキュリティソリューションを導入するといった手段も有効である。代表的な対策は以下の通りだ。
- IPアドレスを通信の認証手段としない
IPアドレスは偽装可能なので、必ずIPアドレスだけで通信の認証を行わず、他の手段を用いて認証する。単純にIDとパスワードで認証するだけでも、IPスプーフィング攻撃の脅威を大きく低減できる。 - セキュリティソリューションを導入する
総合セキュリティソリューションを導入しWebフィルタリングの機能を有効にすることで、怪しいURLをクリックした場合、安全でないサイトの可能性があると警告してくれるようになる。企業向け製品の中にはARPスプーフィングに対して通信回線を流れるパケットを調査して危険な兆候を察知する機能を有するものもある。 - プライベートアドレス利用時におけるファイアウォールの設定を適切に行う
ファイアウォールを設置することで、外部からの不正なアクセスから社内LANを守ることができるが、IPスプーフィング攻撃では、IPアドレスを社内用のプライベートアドレスに偽装することで、社内のパソコンからのアクセスであるかのようにみせかけ、ファイアウォールをすり抜けてしまうことがある。そこで、外部からのアクセスに社内用のプライベートアドレスが使われている場合は、通信を許可しないように設定することで、スプーフィング攻撃から身を守ることができる。
スプーフィング攻撃による被害を回避するために
何かしらに「なりすます」ことがスプーフィング攻撃であり、いわばユーザーの不注意や知識不足を狙った攻撃である。すなわち、スプーフィング攻撃に関する正しい知識を持ち、常に高いセキュリティ意識を保つこと、そして実際に起きた事例をキャッチアップして手法に応じた対策を講じることで、スプーフィング攻撃の脅威は限りなく低減できる。
しかし、人間は常に正しい判断ができるわけではなく、どんなに注意していてもミスをしてしまう可能性がある。そして、現実的には、全世界で起きているすべての事例を把握することは現実的ではない。さらにいえば、ゼロデイ攻撃のように、攻撃側も常に新しい攻撃方法を模索しているため、こういった「いたちごっこ」は永遠に続く。
したがって、どうしても守る側が不利な状況となるが、そうした状況下でも攻撃を防ぐには、ハードウェア、ソフトウェア両面におけるセキュリティ製品の適切な利用と、知識習得を重ねていくしかない。最近では大企業を中心に、社内に24時間365日体制でネットワークやデバイスを監視するSOC(Security Operation Center)やコンピュータセキュリティインシデントに対応するための専門チームであるCSIRT(Computer Security Incident Response Team)などを設置する企業が増えており、準じた対策も含めて対応を検討する時期に来ているのではないだろうか。