IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
ARPポイズニングとは? 10分でわかりやすく解説
目次
社内LANなどの同一ネットワーク内で起きやすい攻撃の一つが「ARPポイズニング(ARPスプーフィング)」です。通信相手の“住所録”にあたるARPテーブルが不正に書き換えられた場合、通信が攻撃者経由にすり替わり、盗聴や改ざん、通信断といった被害につながる可能性があります。この記事では、ARPの前提から攻撃が成立する条件、実務で効果のある対策までを整理し、読者が自組織で何を優先すべきか判断できるよう解説します。
ARPポイズニングとは
ARPポイズニング(ARPスプーフィング)とは、ARP(Address Resolution Protocol)の特性を悪用し、端末やネットワーク機器が保持するARPテーブル(IPアドレスとMACアドレスの対応表)を不正に書き換える攻撃です。その結果、本来の宛先に向かうはずの通信が攻撃者の端末へ転送される状態となり、盗聴・改ざん・通信妨害などが起こり得ます。
ARPとARPテーブルの概要
ARPは、主にIPv4環境において、同一L2セグメント(同一ブロードキャストドメイン)内でIPアドレスからMACアドレスを解決するために使われる仕組みです。端末が同一LAN上の相手とIP通信を行う際、最終的には「どのMACアドレスへフレームを送るか」を決める必要があります。そこで、ARP要求(Request)とARP応答(Reply)を用いて、宛先IPに対応するMACアドレスを学習します。
学習した対応関係はARPテーブル(ARPキャッシュ)に一定時間保存され、以降の通信では都度ブロードキャストを発生させずに転送できます。多くの環境では、このARPテーブルは自動的(動的)に更新されます。つまり、ネットワーク上で受け取ったARP情報が、端末の判断でテーブルに反映されることが一般的です。
ARPポイズニングの仕組み
ARPポイズニングでは、攻撃者が「あるIPアドレスはこのMACアドレスである」といった偽の対応関係を周囲に学習させます。典型的には、通信相手(例:デフォルトゲートウェイ)になりすます情報を流し、端末側が誤った対応表を保持してしまうことで、端末から出るパケットが攻撃者へ向かう状態を作ります。
ここで重要なのは、ARP自体に“正当性を暗号学的に証明する仕組み”が標準では備わっていない点です。そのため、環境や機器の設定によっては、偽のARP情報を受け取った端末がそれを信じてしまい、通信経路がすり替わるリスクが生じます。
ARPポイズニングが成立しやすい条件
ARPポイズニングは、主に次のような条件が重なると成立しやすくなります。
- 攻撃者が同一LAN(同一L2セグメント)に接続できる
- スイッチ側での検証機能(後述のDAIなど)が有効化されていない
- 端末や機器が動的ARP学習を行い、偽情報を拒否できない
- 無線LANの共用、来客用ポートの誤設定、未管理端末の接続など、接続制御が弱い
つまり、インターネット越しに突然起きるというよりも、「内部ネットワークに侵入された後の横展開」や「同一セグメント内での攻撃」として考えるのが、実務上は自然です。
ARPポイズニングによる被害
ARPポイズニングは、通信の経路をすり替えることで、情報漏洩だけでなく可用性や完全性にも影響します。ここでは、代表的な被害を「何が起きるか」という観点で整理します。
中間者攻撃による盗聴・改ざん
通信が攻撃者経由に迂回すると、平文プロトコル(例:一部の社内業務通信や古い管理プロトコルなど)では、内容を読まれる可能性があります。また、盗聴だけでなく、通信内容の改ざんや偽サイトへの誘導につながるケースもあります。
ただし、HTTPS(TLS)などで適切に暗号化され、証明書検証が正しく行われている通信では、内容の解読や“気づかれない改ざん”は難しくなります。一方で、暗号化されている場合でも、通信経路が不安定になることで「通信が遅くなる」「接続が切れる」「証明書警告が表示される」といった業務影響が出ることはあり得ます。
DoSによる通信断・業務停止
ARPテーブルが不正な状態になると、端末が誤った宛先へフレームを送り続け、通信が成立しなくなることがあります。その結果、特定端末だけが通信不能になる場合もあれば、ゲートウェイ周辺の通信が不安定になり、業務全体に影響が及ぶこともあります。
不正アクセスの足がかり
ARPポイズニング単体で“すべてが突破される”わけではありませんが、内部ネットワーク上の可視性を高めたり、認証情報を狙う攻撃の前段となったりすることがあります。たとえば、管理系通信の取り扱いが弱い環境では、横展開の糸口となり得ます。
ARPポイズニング対策
ARPポイズニング対策は、単一の設定だけで完全に防ぐというよりも、「接続できる人を減らす」「偽ARPを通さない」「被害が出ても盗まれない」「気づける」といった複数のレイヤーで組み立てるのが現実的です。ここでは、効果が出やすい順に整理します。
L2スイッチの防御機能を有効化する
実務で最も効果が大きいのは、スイッチ側でARPの不正を検知・遮断する機能を有効にすることです。代表例として、DHCP Snoopingで学習したIP/MAC情報と連携して検証を行うDynamic ARP Inspection(DAI)が挙げられます。これにより、スイッチがIP/MACの正当な対応関係(バインディング)を基に検証し、偽のARP応答を通しにくくできます。
あわせて、L2攻撃全般への耐性を高めるため、次のような設定も検討対象になります。
- IP Source Guard(正当なIP/MACの組み合わせ以外を遮断)
- STP関連の保護(BPDU Guardなど)
- 不要なL2機能や未使用ポートの無効化
これらはベンダーや機種によって名称や仕様が異なるため、「来客用/執務用」「端末系/サーバー系」「トランク/アクセス」など、ポート種別ごとに適用方針を決めることが重要です。
ポートセキュリティと接続制御を強化する
ポートセキュリティは、各ポートで許可するMACアドレス数や、想定外のMACアドレスを検出した際の動作(遮断・制限・通知)を制御できる機能です。端末が頻繁に入れ替わる環境では運用設計が必要ですが、固定席や重要機器のポートでは有効に働くことが多い対策です。
さらに、根本的な対策として「そもそも不正端末を接続させない」ことが重要です。802.1X認証、来客用ネットワークの分離、無線LANの適切な認証方式、NAC(Network Access Control)の導入などを組み合わせることで、同一セグメントへ侵入される確率を下げられます。
ネットワーク分離と最小権限で“横の広がり”を抑える
ARPポイズニングは同一L2セグメント内で起きやすいため、VLAN分割などのセグメンテーションによって影響範囲を狭めることが有効です。端末・サーバー・管理系・来客用などを分け、通信は必要最小限に絞ります。
加えて、管理系インターフェースや重要サーバーへのアクセスは、踏み台(ジャンプサーバー)経由に限定する、管理用ネットワークを分離するなど、“盗聴されやすい場所に管理通信を置かない”設計も効果的です。
通信の暗号化で“盗まれても読めない”状態を作る
ARPポイズニングは通信経路を奪いますが、盗聴されたデータが暗号化されていれば、内容の漏洩リスクは大きく下がります。業務で扱う重要な通信は、HTTPS(TLS)やSSHなど、暗号化と相手認証を前提としたプロトコルへ寄せることが基本です。
拠点間やリモートアクセスなどではVPNも有効です。ただし、暗号化は“万能の侵入防止”ではなく、通信の可用性を守るものでもありません。暗号化は「漏洩時の深刻度を下げる」対策として位置付け、L2側の遮断や検知と併用することが重要です。
静的ARPエントリは“限定的に”使う
静的ARPエントリ(IPとMACの固定登録)は、対象範囲が限定されている場合に有効です。たとえば、重要サーバーとゲートウェイ間など、固定で運用できる区間であれば、ARPキャッシュの書き換えリスクを下げられます。
一方で、端末台数が多い環境では保守負荷や変更への追随が課題になりやすく、誤設定が可用性障害を招くこともあります。静的ARPは「小さく効くが、広くは使いにくい」対策として位置付け、適用箇所を絞るのが現実的です。
監視と検知で早期に気づける状態を作る
技術的に防げる領域を固めたうえで、運用面では監視と検知が重要になります。ARPの変化や不審な挙動を可視化できる仕組みを持つことで、被害が拡大する前に封じ込めや調査に移れます。
- ARP監視(例:Arpwatchなど)によるIP/MAC変化の検知
- IDS/IPS(例:Snortなど)による異常パターンの検知
- スイッチのログ(DAI違反など)の収集とアラート化
- 端末側の挙動(突然の証明書警告、通信断、遅延)を運用で拾う体制
監視は「導入すること」よりも、「通知を見て対応できること」が重要です。検知→切り分け→隔離(ポート遮断やVLAN移動)までの手順を、運用ルールとして整備しておくと実効性が高まります。
対策の整理
| 対策 | 狙い | ポイント |
|---|---|---|
| DAI(DHCP Snooping連携) | 偽ARPの遮断 | スイッチ側で検証し、L2で止める |
| ポートセキュリティ/802.1X | 不正端末の接続抑止 | 運用設計が重要(例外処理を含む) |
| セグメンテーション(VLANなど) | 影響範囲の縮小 | 同一L2を小さく保ち、横展開を抑える |
| TLS/SSH/VPNなどの暗号化 | 盗聴時の情報漏洩抑制 | 漏洩リスクは下がるが、可用性は別対策が必要 |
| 静的ARP(限定適用) | 重要区間の固定化 | 適用範囲を絞り、変更管理を徹底する |
| 監視・検知(ARP/ログ/IDS) | 早期発見と封じ込め | 通知後の対応手順まで含めて整備する |
まとめ
ARPポイズニングは、同一LAN内のARP学習を悪用して通信経路をすり替える攻撃であり、盗聴・改ざん・通信断などにつながる可能性があります。対策としては、スイッチ側の検証機能(DAIなど)による遮断を中心に、接続制御、ネットワーク分離、暗号化、監視を組み合わせて多層化することが重要です。
特に、内部ネットワークの設計や運用が弱い場合、被害が“局所”で終わらないおそれがあります。まずは同一L2セグメントの状況を洗い出し、スイッチ設定(DHCP Snooping/DAI)の適用可否を確認したうえで、段階的に強化していくことが現実的な進め方です。
Q.ARPポイズニングとは何ですか?
ARPの対応表を不正に書き換え、通信経路をすり替える攻撃です。
Q.ARPポイズニングはインターネット越しに起きますか?
一般的には、同一LANなど同一L2セグメント内で成立しやすい攻撃です。
Q.HTTPSなら盗聴されませんか?
内容の解読は困難になりますが、通信断などの影響は別途起こり得ます。
Q.一番効果の高い対策は何ですか?
スイッチのDynamic ARP Inspectionなどで偽ARPを遮断することです。
Q.DHCP Snoopingはなぜ重要ですか?
正当なIP/MAC対応を保持し、ARP検証(DAI)の根拠として使えるためです。
Q.静的ARPエントリは有効ですか?
限定した重要区間では有効ですが、大規模環境では運用負荷が高い対策です。
Q.VLAN分割はARPポイズニング対策になりますか?
同一L2の範囲を狭め、影響範囲を縮小できるため有効です。
Q.ポートセキュリティだけで防げますか?
単独では不十分な場合があるため、DAIや接続認証と組み合わせるべきです。
Q.ARPポイズニングの兆候には何がありますか?
通信断、遅延、証明書警告、IP/MAC対応の頻繁な変化などが兆候になります。
Q.監視は何を見ればよいですか?
ARP変化、スイッチのDAI違反ログ、IDS検知、端末の通信異常を監視します。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
