IPスプーフィングとは？わかりやすく解説

情報セキュリティ > 脆弱性・攻撃手法 > スプーフィング攻撃 > IPスプーフィング

IPスプーフィング（アイピースプーフィング）とは、IP通信において、送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし」（英：spoofing）を行う攻撃手法を指す。ハッキング、サイバーテロ（サイバー攻撃）の一つ。より原義に近い形としてIPアドレススプーフィングと呼ぶこともある。

概要

IP通信において、不正アクセスを防止する観点からポリシーに基づくフィルタリングを行うケースは多く、「特定のIPアドレスからの接続のみ可能」といったアクセス制限が施されている場合がある。このようなアクセス制限が施されている状況下にあっても、送信元IPアドレスを詐称することができればアクセス制限を迂回できてしまうため、攻略対象システムへの不正アクセスを成功させる可能性が高まる。また、攻略対象システムに残されるログにも詐称されたIPアドレスが記録されるため、攻撃者が攻略対象システムの管理者による追跡を逃れられる可能性が高まる。このような観点から、不正侵入等を目的とした不正アクセスにおいてはIPスプーフィングが有用とされている。

DoS攻撃（SYN flood、Smurf attack、ping of death、ping floodなど）では、攻撃対象のサービス提供を妨害することが主目的である。このような攻撃がごく少数のIPアドレスから行なわれている場合、それらのIPアドレスからのアクセス制限を施すことが攻撃への有効な対策となる。しかし、IPスプーフィングを用いて攻撃元を詐称すると、このような対策は無効となる。また、攻撃元を詐称することで本当の攻撃元の特定が困難となり、攻略対象システムの管理者からの追跡を逃れられる可能性が高まる。

原理

原理上、インターネットプロトコル（IP）のパケット（IPパケット）のヘッダ部分には、送信元IPアドレスが含まれている。本来ならば（「設計上」とも言い換えできる）、このIPパケットのヘッダ部分の送信元IPアドレスには、パケット送信者自身のIPアドレスがセットされねばならない。それにより、パケットを受けた受信者は送信者IPアドレスを正しく把握することができ、そのIPアドレスに対するサービス提供の決定およびサービス提供開始を行うことができる。また、送信元IPアドレスが、サービス提供が許されていないIPアドレスやDoS攻撃を行なってくるIPアドレスであれば、アクセスを拒否することが可能となる。しかし、インターネットプロトコルの仕様上の理由から、ヘッダ部分の送信元IPアドレスは詐称が不可能ではなく、これらの事情は必ずしも絶対ではない。

インターネットに接続された環境では「WANは危険だがLAN内は比較的安全」という考えで、送信元IPアドレスがLAN内のIPアドレスであればさほど強くアクセス制限を施していないケースが見られる。このようなケースで、本来であればWANからのアクセスであるにもかかわらず、パケットのヘッダ部分の送信元IPアドレスにLAN内のIPアドレスを指定したパケットを送り込むことに成功すれば、攻略対象は接続が許可されているLANからのアクセスであると誤解し、サービスを提供してしまう可能性がある。もっとも、不正侵入等を目的とした不正アクセスでは、単純にパケットを一つ送り込むだけでは不充分である。特にTCPによる通信の場合、3ウェイ・ハンドシェイクでコネクションを確立する必要があり、TCPシーケンス番号予測攻撃などを併用してTCP セッションの確立を装う必要がある。（UDPはコネクションレス型の通信なのでコネクションの確立は不要である。）

DoS攻撃においてはセッション確立といった困難な事情はないため、単純に攻撃元を詐称したパケットを用いるだけで、アクセス元を特定することやアクセス制限の対象となるアクセス元を決定することは困難となる。

対策

不正侵入等を目的とした不正アクセスにおいてはTCPセッションの確立がほぼ必須となるため、TCPシーケンス番号予測攻撃への対策を施すという手がある。昨今のシステムであればRFC1948^[1]で示された対策はほぼ施されていると考えられる。古いシステムであれば、IPSec等の暗号化されたプロトコルを使用するという方法がある。このような事情から、最近の対策は不正侵入等を目的とした不正アクセスよりも、DoS攻撃に主眼が置かれている。

途中経路上での対策として、IPスプーフィングが疑われるパケットを破棄する対策が有効となる。例えば、WANとLANの境界線上にあるルータ上のフィルタリングルールに、「IPアドレスのみを用いたルール」を使用するのではなく、「通過するネットワークアダプタを考慮した上での、IPアドレスを併用したルール」を使用するといった対策である。例を挙げると、WANからLAN行きのパケットが送信元も送信先もLAN内のIPアドレスを示しているなら、IPスプーフィングが疑われる。また、ループバックデバイス以外のデバイスにlocalhostの送信元IPアドレスを持つパケットが到達すれば、そのケースもIPスプーフィングが非常に強く疑われる。後者についていえば、IPv6では、localhostの送信先IPアドレスを持つIPv6パケットをルータは配送してはならないと、RFC3513で明確に規定されている^[2]。なお、この手法は不正侵入等を目的とした不正アクセスに有効な対策である上に、攻撃者が所属するプロバイダの出口部分のルータに施されている場合は、DoS攻撃に対しても有効な対策となり得る。

DoS攻撃発生時に攻撃者IPアドレスを特定する手法として、「IPパケットに経由ルータの情報を断片化して盛り込む（マーキング）手法」や「各経由ルータが通過パケットのハッシュ値を蓄えておき、DoS攻撃が発生した場合に近隣のルータに通知することで同一ハッシュ値の通過ルートを特定する手法（uRPF、RFC3704）」などが検討されている。但し、パケット配送時のオーバーヘッドなどの問題から現実的なものとはなっていない。

アドバタイズされていないIPアドレス

IPアドレスがBGPにおいてそもそもアドバタイズされていない場合、それらのIPアドレス帯は攻撃者にとっては悪用しやすいIPアドレス帯域となるため、IPアドレスの管理者には適切な設定が要求される。^[3]

脚注

[脚注の使い方]

^ RFC1948 - シーケンス番号予測攻撃からの防御（原題はDefending Against Sequence Number Attacks）
^ RFC3513 - Internet Protocol Version 6 (IPv6) Addressing Architecture
^ RIPE labs - Navigating the Complexities of BGP: Enhancing Security, Visibility, and Operability

参考文献

久米原栄『UNIX Network セキュリティ管理』ソフトバンククリエイティブ、2002年。ISBN 978-4-7973-1687-2。 - 1.3.5「IP（アドレス）スプーフィング」

外部リンク

RFC1948 - Defending Against Sequence Number Attacks
RFC3704 - Ingress Filtering for Multihomed Networks

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[1] RFC1948 - シーケンス番号予測攻撃からの防御（原題はDefending Against Sequence Number Attacks）

[2] RFC3513 - Internet Protocol Version 6 (IPv6) Addressing Architecture

[3] RIPE labs - Navigating the Complexities of BGP: Enhancing Security, Visibility, and Operability

[1]

[2]

[3]

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134)
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）


	(C)Shogakukan Inc. 株式会社小学館
	2025 (C) JMC Corpyright All Rights Reserved 株式会社ジェイエムシー、情報セキュリティ用語集
	All text is available under the terms of the GNU Free Documentation License. この記事は、ウィキペディアのIPスプーフィング (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
	Text is available under GNU Free Documentation License (GFDL). Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、Wikipediaのなりすまし (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

IPスプーフィングとは？わかりやすく解説

アイピー‐スプーフィング【IPスプーフィング】

IPスプーフィング【IP spoofing】