IP Spoofing - Forging Source Addresses in Packetsとは

About 2 min read

IP スプーフィング (IP Spoofing) とは、IP パケットの送信元アドレスを偽装して、 攻撃者の身元を隠したり、信頼されたホストになりすましたりする攻撃手法です。DDoS 攻撃の増幅や、 IP アドレスベースの認証を回避する目的で広く使用されています。 TCP/IP プロトコルの設計上、送信元アドレスの検証が義務付けられていないことが この攻撃を可能にしています。2025 年現在も BCP38 の導入率は十分とは言えず、 IP スプーフィングを利用した DDoS 増幅攻撃は依然として主要な脅威です。

現場での使用例

「DNS リフレクション攻撃で、送信元 IP を当社サーバーのアドレスに偽装した 大量の DNS クエリが世界中のオープンリゾルバに送信されました。 結果として当社サーバーに毎秒 40 Gbps の応答トラフィックが集中し、 サービスが約 2 時間停止しました。」

IP スプーフィングの仕組み

攻撃者は IP パケットヘッダーの送信元アドレスフィールドを任意の値に書き換えて 送信します。UDP ベースの通信ではコネクションレスのため偽装が容易で、 DNS リフレクション攻撃や NTP 増幅攻撃に悪用されます。TCP ベースの通信では 3 ウェイハンドシェイクが必要なため完全な偽装は困難ですが、 SYN フラッド攻撃のように接続を完了させない攻撃には有効です。network attack books on Amazonで技術的な詳細を学べます。

実際の攻撃シナリオ

DDoS 攻撃では、送信元 IP を標的のアドレスに偽装した DNS クエリを 大量の DNS サーバーに送信します。DNS サーバーからの応答は偽装された 標的のアドレスに集中し、標的のネットワークが飽和します。 この増幅攻撃では、小さなクエリに対して数十倍の応答が返るため、 攻撃者の帯域幅以上のトラフィックを生成できます。 また、中間者攻撃の 前段階として、信頼されたホストの IP を偽装してネットワークに侵入する 手法も存在します。

検知と防御

ISP レベルでは、BCP38/RFC 2827 に基づくイングレスフィルタリングにより、 自ネットワーク外の送信元アドレスを持つパケットを遮断できます。ファイアウォールでのアンチスプーフィング ルールの設定、ゼロトラストセキュリティの 導入による IP アドレスだけに依存しない認証も有効です。 パスつく.com で生成した強力なパスワードでネットワーク機器を保護し、 設定の改ざんを防ぐことも基本的な対策です。firewall configuration guides (Amazon)も参考になります。