// シス担のミカタ
ネットワーク攻撃

IPスプーフィング あいぴーすぷーふぃんぐ

なりすましIPアドレス偽装DDoS攻撃パケットファイアウォール送信元アドレス
IPスプーフィングについて教えて

簡単に言うとこんな感じ!

手紙の「差出人欄」に他人の住所を書いて送りつける行為のネット版だよ! 攻撃者が自分のIPアドレスを偽って別人になりすますことで、追跡をかわしたり、踏み台にされた第三者に攻撃を肩代わりさせたりできるんだ。「スプーフィング(Spoofing)」は英語で”なりすまし・欺瞞”って意味ってこと!

IPスプーフィングとは

IPスプーフィング(IP Spoofing)とは、ネットワーク上を流れるデータのかたまり(パケット)に含まれる送信元IPアドレスを偽造する攻撃手法のことです。本来ならば送信元アドレスは送り主のIPアドレスが入るはずですが、攻撃者はここに別のアドレスを意図的に書き込み、自分の正体を隠したり、無関係の第三者になりすましたりします。

実際のビジネス現場では、IPスプーフィングは単体で使われるよりも「大規模なDDoS攻撃(分散型サービス妨害攻撃)の踏み台」として組み合わせて悪用されるケースが圧倒的に多いです。たとえば、攻撃者が被害者のIPアドレスを送信元に偽装して大量のリクエストを送ると、世界中のサーバーが被害者へ一斉に返答を返す「リフレクション攻撃」が成立します。これによって攻撃者は自分の手を汚さず、巨大なトラフィックを特定のサーバーに集中させることができます。

IPスプーフィング自体はインターネット黎明期から知られている古典的な技術ですが、今もなおDDoS攻撃やフィッシング、ファイアウォール回避に活用され続けており、現代のセキュリティ担当者にとって無視できない脅威です。

IPスプーフィングの仕組みと種類

通常の通信とスプーフィング時の違いを比較すると、その危険性がよくわかります。

項目正常な通信IPスプーフィング
送信元IPアドレス実際の送信者のIP偽造された別人のIP
追跡のしやすさ容易困難
返答の行き先送信者本人なりすまされた被害者
主な目的通常の通信攻撃・身元隠蔽

主な攻撃パターン

  • 盲目的なスプーフィング(Blind Spoofing)
    応答パケットが攻撃者には届かない状態で、一方的に偽造パケットを送りつける。接続確立(TCPハンドシェイク)を妨害するサービス妨害攻撃に使われる。

  • リフレクション/アンプ攻撃
    被害者のIPを送信元に偽装して、DNS・NTP・Memcachedなどのサーバーへ小さな問い合わせを大量送信。サーバーが被害者に巨大な応答を返すことで攻撃を増幅させる。

  • 非盲目的なスプーフィング(Non-Blind Spoofing)
    攻撃者と被害者が同一ネットワーク内にいる場合に、応答パケットも盗み見しながら本格的なセッション乗っ取りを行う。

「スプーフ」の語源で覚える

Spoof(スプーフ)」は19世紀イギリスのコメディゲーム名に由来し、「だます・偽る」という意味。IPアドレスを「だます(Spoof)」からIPスプーフィングと呼ばれる。S = 送信元を、P = Pretend(偽る)と覚えると忘れにくい!

歴史と背景

  • 1980年代:研究者ロバート・モリスがTCPシーケンス番号予測とIPスプーフィングを組み合わせた攻撃を理論化。当時はインターネットが信頼ベースで設計されており、送信元アドレスの検証機能が存在しなかった。
  • 1994年:セキュリティ研究者ケビン・ミトニックがIPスプーフィングを活用したハッキングを実行し、世間に広く知られるようになった。
  • 1996年:大規模なSYNフラッド攻撃(IPスプーフィングを使ったサービス妨害)が各地で頻発し、対策の必要性が高まる。
  • 2000年BCP38(RFC 2827) として「ネットワーク入力フィルタリング(Ingress Filtering)」が標準化。ISP(インターネットプロバイダー)が自ネットワークから出る偽造パケットを遮断することが推奨される。
  • 2010年代以降:DNS・NTP・Memcachedを使ったリフレクション/アンプ攻撃が急増。Tbps級のDDoS攻撃にIPスプーフィングが組み合わされ、企業・公共機関への深刻な被害が続いている。
  • 現在:クラウド事業者・大手ISPによるBCP38対応が進む一方、対応していないネットワークが今も世界中に存在しており、根絶には至っていない。

対策技術と関連するセキュリティの仕組み

IPスプーフィングへの対策は「ネットワーク側」と「受信サーバー側」の両面から考える必要があります。

IPスプーフィング 対策の全体像 攻撃者 偽造パケット送信 ネットワーク境界 (ISP / ルーター) Ingress Filtering BCP38 (RFC 2827) ファイアウォール / IPS uRPF / ACL パケット検証・遮断 サーバー (受信側) SYN Cookie レート制限 ①送信元を検証して 偽造パケットを出口で遮断 ②到達した偽造パケットを 境界で検証・フィルタ ③突破された場合の サーバー側防御 攻撃者 ネットワーク対策 境界フィルタ サーバー防御

主な対策技術一覧

対策技術実施場所概要
Ingress Filtering(BCP38)ISP / ルーター自ネットワーク外のIPを送信元に持つパケットを出口で遮断
uRPF(Unicast RPF)ルーター受信パケットの送信元IPが正しいインターフェースから来ているか検証
SYN CookieサーバーOS偽造されたSYNフラッドに対してメモリを消費せず応答する仕組み
ACL(アクセス制御リスト)ファイアウォール不審な送信元IPからのパケットを明示的に遮断するルール
DDoS対策サービスクラウド/CDNCloudflare・AWS Shieldなど、上流で大規模攻撃を吸収・フィルタリング

関連する規格・RFC

規格・RFC番号内容
RFC 2827BCP38:ネットワーク入力フィルタリング(Ingress Filtering)。IPスプーフィング対策の基本ガイドライン
RFC 3704BCP84:マルチホーム環境でのIngress Filteringの拡張ガイドライン
RFC 4987TCP SYNフラッド攻撃とSYN Cookieなどの対策手法についての解説
RFC 5358DNSリフレクション攻撃(スプーフィング利用)を防ぐための再帰DNSサーバー運用ガイドライン

関連用語

  • DDoS攻撃 — 大量のトラフィックで標的サーバーを機能不全にする分散型サービス妨害攻撃
  • パケット — ネットワーク上でデータを運ぶ小分けにされたデータのかたまり
  • IPアドレス — インターネット上の住所となる数字の識別子
  • ファイアウォール — 不正な通信をブロックするネットワークの関所
  • TCPハンドシェイク — TCP通信を開始する際の3ステップの接続確立手順
  • DoS攻撃 — 単一の攻撃元からサービスを妨害する攻撃手法
  • なりすまし攻撃 — 正規のユーザーや機器に偽装して不正アクセスを行う攻撃の総称
  • IDS/IPS — 不正侵入を検知・防御するネットワークセキュリティ機器