IP スプーフィングとは
この記事は約 2 分で読めます
IP スプーフィング (IP Spoofing) とは、 IP パケットの送信元アドレスを偽装して、攻撃者の身元を隠したり、信頼されたホストになりすましたりする攻撃手法です。DDoS 攻撃の増幅や、 IP アドレスベースの認証を回避する目的で広く使用されています。 TCP/IP プロトコルの設計上、送信元アドレスの検証が義務付けられていないことがこの攻撃を可能にしています。 2025 年現在も BCP38 の導入率は十分とは言えず、 IP スプーフィングを利用した DDoS 増幅攻撃は依然として主要な脅威です。
現場での使用例
「 DNS リフレクション攻撃で、送信元 IP を当社サーバーのアドレスに偽装した大量の DNS クエリが世界中のオープンリゾルバに送信されました。結果として当社サーバーに毎秒 40 Gbps の応答トラフィックが集中し、サービスが約 2 時間停止しました。」
IP スプーフィングの仕組み
攻撃者は IP パケットヘッダーの送信元アドレスフィールドを任意の値に書き換えて送信します。 UDP ベースの通信ではコネクションレスのため偽装が容易で、 DNS リフレクション攻撃や NTP 増幅攻撃に悪用されます。 TCP ベースの通信では 3 ウェイハンドシェイクが必要なため完全な偽装は困難ですが、 SYN フラッド攻撃のように接続を完了させない攻撃には有効です。ネットワーク攻撃の書籍 (Amazon)で技術的な詳細を学べます。
実際の攻撃シナリオ
DDoS 攻撃では、送信元 IP を標的のアドレスに偽装した DNS クエリを大量の DNS サーバーに送信します。 DNS サーバーからの応答は偽装された標的のアドレスに集中し、標的のネットワークが飽和します。この増幅攻撃では、小さなクエリに対して数十倍の応答が返るため、攻撃者の帯域幅以上のトラフィックを生成できます。また、中間者攻撃の前段階として、信頼されたホストの IP を偽装してネットワークに侵入する手法も存在します。
検知と防御
ISP レベルでは、 BCP38/RFC 2827 に基づくイングレスフィルタリングにより、自ネットワーク外の送信元アドレスを持つパケットを遮断できます。ファイアウォールでのアンチスプーフィングルールの設定、ゼロトラストセキュリティの導入による IP アドレスだけに依存しない認証も有効です。強力なランダムパスワードでネットワーク機器を保護し、設定の改ざんを防ぐことも基本的な対策です。ファイアウォール設定の書籍 (Amazon)も参考になります。
この記事は役に立ちましたか?