ARPポイズニングとは？ 10分でわかりやすく解説

ARPポイズニング（ARPスプーフィング）とは、同一LAN内で偽のARP情報を流し、端末やネットワーク機器のARPテーブル（IPアドレスとMACアドレスの対応表）を誤った内容に学習させることで、通信経路を攻撃者側へすり替える攻撃です。社内LANなどの同一ネットワーク内で起きやすく、盗聴や改ざん、通信断といった被害につながる可能性があります。先に結論を言うと、優先度が高いのは、同一L2セグメントを広げすぎないこと、対応するスイッチでDAIを使えるか確認すること、重要通信の暗号化と監視を並行して進めることです。以下で、ARPの前提、攻撃が成立する条件、対策の優先順位を順に確認します。

ARPポイズニングとは

ARPポイズニング（ARPスプーフィング）とは、ARP（Address Resolution Protocol）の特性を悪用し、端末やネットワーク機器が保持するARPテーブル（IPアドレスとMACアドレスの対応表）を不正に書き換える攻撃です。その結果、本来の宛先に向かうはずの通信が攻撃者の端末へ転送される状態となり、盗聴・改ざん・通信妨害などが起こり得ます。

ARPとARPテーブルの概要

ARPは、主にIPv4環境において、同一L2セグメント（同一ブロードキャストドメイン）内でIPアドレスからMACアドレスを解決するために使われる仕組みです。端末が同一LAN上の相手とIP通信を行う際、最終的には「どのMACアドレスへフレームを送るか」を決める必要があります。そこで、ARP要求（Request）とARP応答（Reply）を用いて、宛先IPに対応するMACアドレスを学習します。

学習した対応関係はARPテーブル（ARPキャッシュ）に一定時間保存され、以降の通信では都度ブロードキャストを発生させずに転送できます。多くの環境では、このARPテーブルは自動的（動的）に更新されます。つまり、ネットワーク上で受け取ったARP情報が、端末の判断でテーブルに反映されることが一般的です。

ARPポイズニングの仕組み

ARPポイズニングでは、攻撃者が「あるIPアドレスはこのMACアドレスである」といった偽の対応関係を周囲に学習させます。典型的には、通信相手（例：デフォルトゲートウェイ）になりすます情報を流し、端末側が誤った対応表を保持してしまうことで、端末から出るパケットが攻撃者へ向かう状態を作ります。

ここで重要なのは、ARP自体に“正当性を暗号学的に証明する仕組み”が標準では備わっていない点です。そのため、環境や機器の設定によっては、偽のARP情報を受け取った端末がそれを信じてしまい、通信経路がすり替わるリスクが生じます。

ARPポイズニングが成立しやすい条件

ARPポイズニングは、主に次のような条件が重なると成立しやすくなります。

• 攻撃者が同一LAN（同一L2セグメント）に接続できる
• スイッチ側での検証機能（後述のDAIなど）が有効化されていない
• 端末や機器が動的ARP学習を行い、偽情報を拒否できない
• 無線LANの共用、来客用ポートの誤設定、未管理端末の接続など、接続制御が弱い

つまり、インターネット越しに突然起きるというよりも、「内部ネットワークに侵入された後の横展開」や「同一セグメント内での攻撃」として捉えるほうが実態に合っています。

ARPポイズニングによる被害

ARPポイズニングは、通信の経路をすり替えることで、情報漏洩だけでなく可用性や完全性にも影響します。代表的な被害としては、中間者攻撃による盗聴・改ざん、通信断、内部侵入後の攻撃の足がかり化が挙げられます。

中間者攻撃による盗聴・改ざん

通信が攻撃者経由に迂回すると、平文プロトコル（例：一部の社内業務通信や古い管理プロトコルなど）では、内容を読まれる可能性があります。また、盗聴だけでなく、通信内容の改ざんや偽サイトへの誘導につながるケースもあります。

ただし、HTTPS（TLS）などで適切に暗号化され、証明書検証が正しく行われている通信では、内容の解読や“気づかれない改ざん”は難しくなります。一方で、暗号化されている場合でも、通信経路が不安定になることで「通信が遅くなる」「接続が切れる」「証明書警告が表示される」といった業務影響が出ることはあり得ます。

DoSによる通信断・業務停止

ARPテーブルが不正な状態になると、端末が誤った宛先へフレームを送り続け、通信が成立しなくなることがあります。その結果、特定端末だけが通信不能になる場合もあれば、ゲートウェイ周辺の通信が不安定になり、業務全体に影響が及ぶこともあります。

不正アクセスの足がかり

ARPポイズニング単体で“すべてが突破される”わけではありませんが、内部ネットワーク上の可視性を高めたり、認証情報を狙う攻撃の前段となったりすることがあります。たとえば、管理系通信の取り扱いが弱い環境では、横展開の糸口となり得ます。

ARPポイズニング対策

ARPポイズニングは、一つの設定だけで防ぎ切れる攻撃ではありません。不正端末を入りにくくし、偽ARPを通しにくくし、万一盗聴されても被害を抑え、異常が起きたら早く気づけるようにする、といった多層的な対策で考えるのが現実的です。優先順位としては、まずスイッチ側で偽ARPを遮断できるかを確認し、次に接続制御とセグメンテーションで同一L2を狭め、最後に暗号化と監視で被害の深刻化を抑える流れにすると判断しやすくなります。ここでは、その順で整理します。

L2スイッチの防御機能を有効化する

実務で有力な対策は、スイッチ側でARPの不正を検知・遮断する機能を有効にすることです。代表例として、Dynamic ARP Inspection（DAI）が挙げられます。DHCPでアドレスを動的に割り当てる環境ではDHCP Snoopingのバインディング情報を使って検証し、DHCPを使わない環境ではARP ACLなどで許可する対応関係を定義します。これにより、スイッチがIP/MACの正当な対応関係を基に検証し、偽のARP応答を通しにくくできます。

あわせて、L2攻撃全般への耐性を高めるため、次のような設定も検討対象になります。

• IP Source Guard（正当なIP/MACの組み合わせ以外を遮断）
• STP関連の保護（BPDU Guardなど）
• 不要なL2機能や未使用ポートの無効化

これらはベンダーや機種によって名称や仕様が異なるため、「来客用／執務用」「端末系／サーバー系」「トランク／アクセス」など、ポート種別ごとに、どの機能を有効にするかを先に決めておく必要があります。

ポートセキュリティと接続制御を強化する

ポートセキュリティは、各ポートで許可するMACアドレス数や、想定外のMACアドレスを検出した際の動作（遮断・制限・通知）を制御できる機能です。端末が頻繁に入れ替わる環境では運用設計が必要ですが、固定席や重要機器のポートでは有効に働くことが多い対策です。

さらに、根本的な対策として「そもそも不正端末を接続させない」ことが重要です。802.1X認証、来客用ネットワークの分離、無線LANの適切な認証方式、NAC（Network Access Control）の導入などを組み合わせることで、同一セグメントへ侵入される確率を下げられます。

ネットワーク分離で影響範囲を狭める

ARPポイズニングは同一L2セグメント内で起きやすいため、VLAN分割などのセグメンテーションによって影響範囲を狭めることが有効です。端末・サーバー・管理系・来客用などを分け、通信は必要最小限に絞ります。

加えて、管理系インターフェースや重要サーバーへのアクセスは、踏み台（ジャンプサーバー）経由に限定する、管理用ネットワークを分離するなど、“盗聴されやすい場所に管理通信を置かない”設計も効果的です。

通信を暗号化して漏洩リスクを下げる

ARPポイズニングは通信経路を奪いますが、盗聴されたデータが暗号化されていれば、内容の漏洩リスクは大きく下がります。業務で扱う重要な通信は、HTTPS（TLS）やSSHなど、暗号化と相手認証を前提としたプロトコルへ寄せることが基本です。

拠点間やリモートアクセスなどではVPNも有効です。ただし、暗号化は“万能の侵入防止”ではなく、通信の可用性を守るものでもありません。暗号化は「漏洩時の深刻度を下げる」対策として位置付け、L2側の遮断や検知と併用することが重要です。

静的ARPエントリは“限定的に”使う

静的ARPエントリ（IPとMACの固定登録）は、対象範囲が限定されている場合に有効です。たとえば、重要サーバーとゲートウェイ間など、固定で運用できる区間であれば、ARPキャッシュの書き換えリスクを下げられます。

一方で、端末台数が多い環境では保守負荷や変更への追随が課題になりやすく、誤設定が可用性障害を招くこともあります。静的ARPは「小さく効くが、広くは使いにくい」対策として位置付け、適用箇所を絞るのが現実的です。

監視と検知で早期に気づける状態を作る

技術的に防げる領域を固めたうえで、運用面では監視と検知が重要になります。ARPの変化や不審な挙動を可視化できる仕組みを持つことで、被害が拡大する前に封じ込めや調査に移れます。

• ARP監視（例：Arpwatchなど）によるIP/MAC変化の検知
• IDS/IPS（例：Snortなど）による異常パターンの検知
• スイッチのログ（DAI違反など）の収集とアラート化
• 端末側の挙動（突然の証明書警告、通信断、遅延）を運用で拾う体制

監視は「導入すること」よりも、「通知を見て対応できること」が重要です。検知→切り分け→隔離（ポート遮断やVLAN移動）までの手順を、運用ルールとして整備しておくと実効性が高まります。

主な対策と使いどころ

対策を決める前に確認したいポイント

スイッチでARP検証機能を使えるか

最初に確認したいのは、利用中のL2スイッチでDAIなどのARP検証機能を使えるかどうかです。ここが使えると、偽ARPをネットワーク側で止めやすくなり、端末ごとの対処だけに頼らずに済みます。

同一L2セグメントが広すぎないか

ARPポイズニングは同一L2セグメント内で成立しやすいため、影響範囲はセグメント設計に大きく左右されます。端末、サーバー、管理系、来客用が同じセグメントに混在していないかを先に確認すると、優先すべき分離対象が見えやすくなります。

重要通信が暗号化されているか

スイッチ側で完全に防ぎ切れない場合でも、管理画面や業務通信が暗号化されていれば、盗聴時の被害は抑えやすくなります。まずは平文の管理通信や古い運用が残っていないかを洗い出すことが、現実的な優先順位付けにつながります。

まとめ

ARPポイズニングは、同一LAN内のARP学習を悪用して通信経路をすり替える攻撃であり、盗聴・改ざん・通信断などにつながる可能性があります。対策としては、スイッチ側の検証機能（DAIなど）による遮断を中心に、接続制御、ネットワーク分離、暗号化、監視を組み合わせて多層化することが重要です。

内部ネットワークの設計や運用が弱いと、被害は一部の端末だけでは済まないことがあります。まずは同一L2セグメントの広さを洗い出し、スイッチでDAIを使えるか、動的割り当てならDHCP Snoopingを使えるか、非DHCP環境ならARP ACLを使えるかを確認しながら、優先順位を付けて強化していくのが現実的です。