「ARPスプーフィング攻撃」とは？仕組みをわかりやすく解説

「ARPスプーフィング攻撃」とは、一言でいうと「ARPを悪用した、なりすまし攻撃」のことです。
「ARP」というのは、IPアドレスからMACアドレスを得るための仕組みのことですね。

IPアドレスとMACアドレスのおさらい

まずは「IPアドレス」と「MACアドレス」についておさらいしておきましょう。
すでに理解している方は、読み飛ばしていただいてかまいません。

IPアドレスの特徴

IPアドレスには2種類あります。
「グローバルIPアドレス」と「プライベートIPアドレス」の2つです。「グローバルIPアドレス」は世界に1つしかないアドレスで「プライベートIPアドレス」はルーターがLAN内で割り振るアドレスです。
前者が「電話番号」後者が「内線番号」だと考えるとイメージしやすいかもしれません。

グローバルIPアドレスは、インターネットを使用する全てのコンピュータに割り振られています。
自分のグローバルIPアドレスはこちらのサイトで調べることが出来ます。
アクセス情報【使用中のIPアドレス確認】

プライベートIPアドレスは、個人の環境によって「ある」場合と「ない」場合があります。
ルータを使用していない場合、直接ケーブルをパソコンにさしてネットワークにつないでいる場合、プライベートIPアドレスは「ない」と思います。

自分のプライベートIPアドレスは、「ネットワークユーティリティ」や「コマンドプロンプトorターミナル」から調べることが出来ます。
（調べ方は検索すればすぐに見つかりますので、ここでは割愛しますネ。m(−ω−)m）

MACアドレスの特徴

MACアドレスは、それぞれの機器（パソコン、ルータ、ハブ、スマホなど）にメーカーが割り振った固有のアドレスで、変更することが出来ません。
（厳密のいうと変更する方法はあるにはありますが、重大な障害が発生する可能性があるのでオススメしません。）

MACアドレスも、グローバルIPアドレスと同じ、世界に1つしかないアドレスです。
自分のMACアドレスは、「ネットワークユーティリティ」や「コマンドプロンプトorターミナル」から調べることが出来ます。

IPアドレスとMACアドレスの役割

IPアドレスとMACアドレス、似ているようで似ていない2つのアドレスは
どちらも、ネットワーク上で機器を特定するために使用されます。
Aさんへのメールを送信しようと思ったら、Aさんの機器が持っているIPアドレスとMACアドレスから場所を特定し、メールが届くという仕組みです。

機器を特定するためにはIPアドレス・MACアドレスの両方が使われますが、技術上、どちらか1つだけでも一応特定は可能だと言われています。
ただしどちらか1つだと特定に時間がかかることや、昔からの仕組みを変更することが容易ではないということもあり、今でもなおIPアドレスとMACアドレスの両方が使われているというわけです。

郵便で例えるならば、MACアドレスが「名前」、IPアドレスが「住所」です。
どちらか片方だけでもある程度特定はできますし、もしかしたら郵便物も届くかもしれません。ですが2つあったほうが便利は便利です。

この2つを結びつける役割をしているのが「ARP」というわけです。

「ARPスプーフィング攻撃」ってどんな攻撃？

「ARP」は、IPアドレスからMACアドレスを入手するために使われる仕組みです。

ですが、接続のたびに毎回ARPを使用していると面倒くさいし時間もかかるので
一度入手したMACアドレスは「ARPキャッシュ」というところに保存して、2度目以降はそれを使うことになっています。

「ARPスプーフィング攻撃」は、そのARPキャッシュを書き換えることで
本来届くはずだった宛先とは全く別の宛先にデータを送らせる、という不正行為なのです。

ARPスプーフィング攻撃により、データを盗聴・改ざん・妨害することが可能になります。
たとえば宛先を自分のMACアドレスに書き換えれば、データが自分宛に届くので盗聴が可能になりますね。
このような攻撃を「中間者攻撃」と呼びます。

「ARPスプーフィング攻撃」を防ぐためにはどうすればいい？

防御方法はいろいろありますが、その中の1つ「DAI（Dynamic ARP Inspection）」について紹介します。

DAIを簡単に説明すると、IPアドレスとMACアドレスの組み合わせを検証し、それが無効の組み合わせの場合にはパケットを破棄するという仕組みとなっています。
Ciscoの製品に搭載されている機能のようです。
詳しく知りたい方は公式サイトをご覧ください。
ダイナミック ARP インスペクション（DAI） - Cisco Systems