IT用語集

IPスプーフィングとは? わかりやすく10分で解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

IPスプーフィングとは?仕組み・被害・対策を解説

はじめに

IPスプーフィングとは、IPパケットの送信元IPアドレスを偽装して通信することです。DoSやDDoSの補助として使われやすく、送信元の追跡を難しくするためにも悪用されます。

ただし、IPアドレスを偽装しただけで、その通信が自動的に信頼されるわけではありません。実際の環境では、TLS証明書、認証、セッション、端末状態、ログの突き合わせなども見て正当性を確かめます。この記事では、IPスプーフィングの仕組み、悪用例、被害、対策、最近の動き、法律と運用の見方を順に整理します。

IPスプーフィングの歴史

IPスプーフィングは、IPヘッダーに送信元アドレスを持つ仕組みがある以上、昔から考えられた手法です。広く知られるようになったのは、インターネットの利用が広がった1980年代後半から1990年代です。

1989年には、Steven M. Bellovin がTCP/IPの弱点を論じた論文で source address spoofing を取り上げました。その後、2000年のRFC 2827、2004年のRFC 3704で、フィルタリングで偽装を抑える考え方が広く共有されました。

IPスプーフィングの仕組み

送信元を書き換える

攻撃者は、IPパケットのヘッダーにある送信元IPアドレスを別の値にして送ります。受け取る側はその値を見て発信元を判断し、返信もふつうはその送信元へ返します。ここが偽装の出発点です。

UDPで使われやすい理由

TCPは接続を張る手順があるため、送信元を偽っただけではやり取りを続けにくい場面が多くあります。これに対し、UDPはその手順を前提にしないため、偽の送信元で大量のパケットを送りやすいのが特徴です。

どんな場面で効くか

攻撃者が双方向のやり取りを必要としない場合、IPスプーフィングは使いやすくなります。DoSやDDoS、反射・増幅型、スキャンの補助などで悪用されやすいのはこのためです。

悪用されやすい場面

DDoS攻撃と反射・増幅型

もっとも結びつきが強いのはDoS攻撃DDoS攻撃です。とくに反射・増幅型では、攻撃者が送信元を標的のIPアドレスに偽装し、第三者のサーバーへ問い合わせを送ります。すると、第三者から返る大きな応答が標的へ集まり、回線の帯域や機器の処理を圧迫します。

IPだけを強く信じる作り

今の多くの環境では、IPアドレスだけで相手を信じる作りは減っています。ただ、社内や閉じた網で、特定のIPアドレスからの通信を強く信じる設定が残っていると、偽装が足がかりになることがあります。

被害

止まりやすくなる

DoS攻撃やDDoS攻撃に使われると、Webサイトが開かない、APIがタイムアウトする、業務のシステムが遅くなるといった形で影響が出ます。復旧のための見直しや説明にも手間がかかります。

別の攻撃の助けになる

IPスプーフィングだけで利用者の情報を直接盗むわけではありません。ですが、フィッシング詐欺セッションハイジャック、マルウェアのばらまきなど、別の攻撃と組み合わせて使われることはあります。送信元を追いにくくする助けになるからです。

対策

ファイアウォールとフィルタリング

基本は、外から入る通信と中から出る通信の両方で、送信元IPアドレスがその場に合うかを見て落とすことです。外から入る側はイングレスフィルタリング、中から出る側はエグレスフィルタリングと呼ばれます。

網の機器では、ユニキャストRPFの考え方を使える場合があります。ただし、経路が片道ずつ違う構成では正しい通信まで落ちることがあるため、入れる前に経路をよく見ておく必要があります。

攻撃の型に合わせて守る

TCPであれば接続を張る手順の確認が役立つ場面がありますが、UDP中心の反射・増幅型ではそれだけでは足りません。レート制限、上流での遮断、DDoSを和らげるサービスなど、型に合わせて組み合わせることが大切です。

自分の網を加害側にしない

送信元を確かめる仕組みは、自分の網が踏み台にならないためにも必要です。外へ出す通信も見ておくことで、反射・増幅型の土台に使われにくくなります。

最近の動き

送信元を確かめる取り組みは以前より広がっていますが、偽装したパケットをまだ出せる網が残っていると見られています。そのため、IPスプーフィングは今もDDoS攻撃の土台として無視できません。

今後は、事業者側のフィルタリング、クラウド側の守り、外部の緩和サービスがさらに広がるでしょう。ただし、攻撃者は実IPのボットや乗っ取ったアカウントへ移ることもあるため、IPスプーフィング対策だけで十分とは言えません。

法律と運用の見方

IPスプーフィングそのものは技術の名前ですが、実際には不正な侵入、業務の妨げ、だまし取りなどの行為と結びついて問題になります。法令だけで止め切るのは難しいため、記録を残すこと、連絡の流れを決めておくこと、外部と連携できるようにしておくことが欠かせません。

ほかの攻撃との関係

フィッシング詐欺やランサムウェアは、それぞれ別の軸が中心です。前者はだます導線、後者は端末への侵入と暗号化が主で、IPスプーフィングは常に主役ではありません。ただし、マルウェアに感染した端末がボットとして悪用される場面では、送信元を追いにくくする部品として混ざることがあります。

まとめ

IPスプーフィングは、IPパケットの送信元IPアドレスを偽って送る手法です。特にDoS攻撃やDDoS攻撃、なかでも反射・増幅型との結びつきが強く、送信元を追いにくくします。

守る側は、ファイアウォール、イングレス/エグレスのフィルタリング、ユニキャストRPF、上流での緩和などを、攻撃の型に合わせて組み合わせる必要があります。

Q.IPスプーフィングとは何ですか?

IPパケットの送信元IPアドレスを偽って通信することです。

Q.なぜUDPで使われやすいのですか?

TCPのような接続を張る手順がないため、偽の送信元でパケットを送りやすいからです。

Q.DDoS攻撃とどう関係しますか?

送信元を標的に偽ることで、第三者から大きな応答を集める反射・増幅型に使われやすくなります。

Q.IPアドレスだけを偽れば、信頼された通信になりますか?

いいえ。今の多くの環境では、認証や暗号化なども見て相手を確かめます。

Q.フィッシング詐欺の主な手口ですか?

主な手口ではありません。フィッシング詐欺の中心は偽サイトや送信元のだましです。

Q.イングレス/エグレスフィルタリングとは何ですか?

外から入る通信と中から出る通信で、送信元IPアドレスがその場に合うかを見て落とす方法です。

Q.ユニキャストRPFは何に使いますか?

経路と送信元のつじつまを見て、偽装された通信を落としやすくするために使います。

Q.TCPの通信では効きにくいのですか?

単純な偽装だけではやり取りを続けにくい場面が多いため、UDPより使いにくいことが多いです。

Q.いつごろから知られてきましたか?

広く問題として意識されたのは1980年代後半から1990年代です。1989年の論文やRFC 2827、RFC 3704がよく参照されます。

Q.先にやるべき対策は何ですか?

ファイアウォール、イングレス/エグレスのフィルタリング、上流でのDDoS緩和、記録の監視を先に整えるのが現実的です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article