スプーフィング攻撃

IPスプーフィング攻撃

IPスプーフィング攻撃では、攻撃者はなりすましたIPアドレスからIPパケットを送信し、自分の本当のIDを隠します。多くの場合、攻撃者はターゲットのネットワークトラフィックを飽和させるDoS攻撃でIPスプーフィング攻撃を使用します。このような攻撃では、悪意のある攻撃者はパケットを複数のネットワーク受信者に送るために、他のIPアドレスになりすましたIPアドレスを使います。本物のIPアドレスにはすべての応答が殺到してしまい、ネットワークサービスが中断させられる可能性もあります。攻撃者がコンピューターやデバイスのIPアドレスを偽装し、IPアドレスに基づいてユーザーやデバイスを認証するネットワークへのアクセスに侵入しようとする場合もあります。

発信者IDのスプーフィング攻撃

スプーフィング攻撃は電話の通話にも仕掛けられることがあります。発信者IDのスプーフィング攻撃では、攻撃者は被害者が知っている電話番号からの通話を装うか、または特定の地理的な位置に関連する番号を装います。発信者IDの偽装者は、馴染みのある番号だと思って相手が電話に出ることを期待して、被害者の電話番号と同じ市外局番で最初の何桁かが同一の電話番号さえ使います。この手口は近隣スプーフィングとして知られています。

発信者IDのスプーフィング攻撃で犠牲者が電話に出た場合、電話線の向こう側にいる詐欺師は金融機関の役員や公式にありそうな機関の代表を装う可能性があります。こうした偽の代表者は詐欺を働いたり、他の攻撃を行ったりするために使える個人情報を漏らすように犠牲者を説得しようとすることが少なくありません。

電子メールによるスプーフィング攻撃

電子メールによるスプーフィング攻撃では、偽の送信者アドレスを使用してメールを送信する場合があります。攻撃者は、電子メールが信頼できる発信元から来たと被害者に信じ込ませようとして、ソーシャルエンジニアリングによるフィッシング攻撃によるメールアドレスのスプーフィングを多く利用します。被害者が騙されてメール内の悪意のあるリンクをクリックすると、ログイン認証情報、金銭面の情報、企業データなどが盗まれることがあります。電子メールのスプーフィングなどのフィッシング攻撃では、被害者のコンピュータをマルウェアに感染させる場合もあります。また、ビジネスメール詐欺（BEC）の場合には犠牲者を騙して資金の移送を行わせようとする場合もあります。スピアフィッシングやホエーリングなど様々な形態のフィッシング攻撃は、会社内の特定の人に対して入念に作られており、高い成功率を上げる傾向があります。

ウェブサイトなりすまし攻撃

ウェブサイトのスプーフィング攻撃では、攻撃者が被害者がよく知っていて信用している正当なウェブサイトとまるで同じように見える悪意のあるウェブサイトを用意します。ウェブサイトのスプーフィングでは、フィッシング攻撃と関連性があることが少なくありません。被害者がフィッシングのメール内にあるリンクをクリックすると、その人が使っているウェブサイト（例：銀行サイトへのログインページ）とまるで同じように見えるページが開かれます。被害者はそこで、自分が予想していたのと全く同じロゴ、ブランド名、ユーザーインターフェースを目にすることでしょう。ところが、一旦、ログイン認証情報や個人情報を提供してしまうと、偽装したウェブサイトは、それらの情報を攻撃や詐欺のために使用するために密かに獲得してしまうのです。

ARPスプーフィング攻撃

アドレス解決プロトコル（ARP）は、ローカルエリアネットワーク（LAN）全体でデータを送信するために、物理的な媒体アクセス制御（MAC）アドレスにIPアドレスを対応づけします。ARPスプーフィング攻撃では、悪意のある者が自身のMACアドレスを正当なIPアドレスと結びつける目的で、ローカルエリアネットワーク全体に偽装したARPメッセージを送ります。そのようにして、攻撃者はそのIPアドレスの所有者専用のデータを盗むか、変更することができるのです。

正当なホストになりすました攻撃者は、自身のMACアドレスでは応答することができないはずのリクエストにも応答をすることができます。攻撃者は正確に配置されたパケットを使い、2つのホスト間のプライベートトラフィックを盗むことができるのです。セッショントークンの交換などの貴重な情報がトラフィックから抽出され、攻撃者がアクセスできないはずのアプリケーションアカウントに完全にアクセスできるようになります。ARPスプーフィングは、MITM攻撃、DoS攻撃、およびセッションハイジャックに採用されることもあります。

DNSスプーフィング攻撃

ARPがLANのMACアドレスにIPアドレスを対応づけする方法とほぼ同じようにして、ドメインネームシステム（DNS）はドメイン名をIPアドレスに対応づけします。DNSスプーフィング攻撃を行う際、攻撃者はそのホストのドメイン名（例：www.onlinebanking.com）になりすますために、破損したDNSキャッシュ情報をホストに提供します。そして、対象のドメイン名になりすますことに成功すると、攻撃者はそれを使って被害者を欺くか、別なホストへの不正アクセスを得ることができます。

DNSスプーフィングは、被害者が情報を信頼できるソースに送っていると考えているものの実際には悪意のあるホストに機密情報をうっかり送信してしまうようなMITM攻撃にも使用できます。また、被害者はマルウェアを含むサイトにリダイレクトされる可能性もあります。すでにIPアドレスをスプーフィングすることに成功した攻撃者は、DNSサーバーのアドレスを自分のIPアドレスと対応づけるだけで、DNSを容易にスプーフィングできるようになります。

スプーフィング攻撃を検知する方法

ユーザー教育によってスプーフィング攻撃を防ぐ最良の方法は、自分がスプーフィングされている兆候に対して常に注意を払うように徹底することです。例として、なりすましの電子メールを使用するフィッシング攻撃では、文法的に間違っていたり、送り仮名に間違いがあったり、不自然な言い回しが使われていたりする場合があります。メッセージの内容から、受け取った側がパニックを引き起こすように巧妙に作られており、即時に行動を起こさないといけないような緊急事態の内容の場合があります。よく見直してみると、送信者のメールアドレスが1文字欠けていたり、メッセージ内に挿入されたURLが実際のものとはスペルが微妙に異なっていたりすることに気づくこともあるでしょう。インシデント検知と対応のソリューションを導入することで、そのような場合に引き起こされる異常なユーザー活動に対するプロアクティブなアラートが可能となり、組織をより強力に守ることができます。

スプーフィング攻撃のメッセージを受け取ったと思った場合は、メール、テキスト、または別の経路を通じて到着したかどうかに関係なく、メッセージ内のリンクや添付ファイルを絶対にクリックしてはなりません。メッセージが正しいことを確認するために、自身で見つけた連絡先情報を使って送信者に連絡してみてください。攻撃者に連絡することになる可能性があるため、メッセージには、電話番号や他のアドレスを絶対に記載しないでください。また、メッセージがアカウントへのログインを求めている場合は、提供されたリンクをクリックせずに、ブラウザーで別のタブやウィンドウを開き、正しいやり方でログインしてみてください。

スプーフィング攻撃を防ぐ方法

スマートセキュリティのツールもスプーフィング攻撃の防止に役立ちます。例えば、スパムフィルターなら、ほとんどのフィッシングメールが受信トレイに届かなくなります。一部の組織やネットワークキャリアでは、スパム通話がユーザーの電話にかからないようにするために同様のソフトウェアを使用しています。スプーフィングを検知するためのソフトウェアなら、検知の機能を強化することで被害を未然に防止して、上記のようなスプーフィング攻撃からシステムを保護できるようになります。

いくつかのベストプラクティスによって、スプーフィング攻撃の被害を軽減することができます。ネットワーク内の認証については、信頼関係に依存するのをできる限り避けてください。そうしない限り、信頼関係を悪用した攻撃者によるスプーフィング攻撃が成功してしまいかねません。パケットフィルタリングは相反するソースアドレス情報を含むパケットを検知してブロックすることができるため、IPスプーフィング攻撃を防止することができます。HTTP Secure（HTTPS）やSecure Shell（SSH）といった暗号化通信用プロトコルを使用することで、保護をさらに強化するすることができます。