トピック概要
スプーフィングとは、通信やIDを信頼できる公式のソースと関連があるかのように「なりすます」行為です。スプーフィング攻撃は、フィッシング詐欺として展開される一般的なメールによる攻撃から虚偽の発信者番号を表示させて通話を仕掛ける攻撃にいたるまで、多様な形態を取り得ます。攻撃者はスプーフィング攻撃の一環として、IPアドレス、ドメインネームシステム(DNS)サーバー、アドレス解決プロトコル(ARP)サービスなど、より技術的な要素をターゲットにすることもあります。
スプーフィング攻撃は通常、被害者が知っている人や組織をなりすますことにより当事者間の信頼関係を悪用します 。メールでのスプーフィングを特徴とする富裕層をターゲットにしたホエーリング攻撃やウェブサイトのスプーフィングといったケースでは、通信が正当であることを被害者に納得させるためにメッセージ内容がカスタマイズされている場合さえあります。インターネット通信が偽装されることに気づいていないユーザーの場合は特に、スプーフィング攻撃の餌食になりやすい状態です。
スプーフィング攻撃が成功すると甚大な被害が生じ得ます。攻撃者は、個人または企業の機密情報を盗む、将来の攻撃または詐欺に使用するための認証情報を収集する、悪意のあるリンクや添付ファイルを使ってマルウェアを拡散する、信用関係に乗じてネットワークへのアクセス権を不当に得る、アクセスコントロールを不正に潜り抜けるなどのことを行う可能性があります。犯罪者はdenial-of-service(DoS)攻撃や中間者(MITM)攻撃を仕掛けることさえあります。
ビジネス上、これにはどのような意味があるのでしょうか。スプーフィング攻撃により被害者が騙されると、その組織はランサムウェア攻撃を受けたり、物理的にも金銭的にも損失の大きいデータ漏洩を生させたりすることになる場合があります。攻撃者が上司を装い、実際にはハッカーが所有している口座に送金するように部下を騙すというようなビジネスメール詐欺(BEC)攻撃も、一般的なスプーフィング攻撃です。また、企業は自社のウェブサイトがマルウェアを拡散していたり、個人情報を盗んでいたりしていることに気付くこともあるでしょう。究極的には、企業は法的責任を問われたり、評価を落としたり、顧客から信頼を失ったりすることにもなりかねません。このような理由から、今日用いられているスプーフィング攻撃の種類について知り、検知と予防の方法を学ぶことはとても重要です。
IPスプーフィング攻撃では、攻撃者はなりすましたIPアドレスからIPパケットを送信し、自分の本当のIDを隠します。多くの場合、攻撃者はターゲットのネットワークトラフィックを飽和させるDoS攻撃でIPスプーフィング攻撃を使用します。このような攻撃では、悪意のある攻撃者はパケットを複数のネットワーク受信者に送るために、他のIPアドレスになりすましたIPアドレスを使います。本物のIPアドレスにはすべての応答が殺到してしまい、ネットワークサービスが中断させられる可能性もあります。攻撃者がコンピューターやデバイスのIPアドレスを偽装し、IPアドレスに基づいてユーザーやデバイスを認証するネットワークへのアクセスに侵入しようとする場合もあります。
スプーフィング攻撃は電話の通話にも仕掛けられることがあります。発信者IDのスプーフィング攻撃では、攻撃者は被害者が知っている電話番号からの通話を装うか、または特定の地理的な位置に関連する番号を装います。発信者IDの偽装者は、馴染みのある番号だと思って相手が電話に出ることを期待して、被害者の電話番号と同じ市外局番で最初の何桁かが同一の電話番号さえ使います。この手口は近隣スプーフィングとして知られています。
発信者IDのスプーフィング攻撃で犠牲者が電話に出た場合、電話線の向こう側にいる詐欺師は金融機関の役員や公式にありそうな機関の代表を装う可能性があります。こうした偽の代表者は詐欺を働いたり、他の攻撃を行ったりするために使える個人情報を漏らすように犠牲者を説得しようとすることが少なくありません。
電子メールによるスプーフィング攻撃では、偽の送信者アドレスを使用してメールを送信する場合があります。攻撃者は、電子メールが信頼できる発信元から来たと被害者に信じ込ませようとして、ソーシャルエンジニアリングによるフィッシング攻撃によるメールアドレスのスプーフィングを多く利用します。被害者が騙されてメール内の悪意のあるリンクをクリックすると、ログイン認証情報、金銭面の情報、企業データなどが盗まれることがあります。電子メールのスプーフィングなどのフィッシング攻撃では、被害者のコンピュータをマルウェアに感染させる場合もあります。また、ビジネスメール詐欺(BEC)の場合には犠牲者を騙して資金の移送を行わせようとする場合もあります。スピアフィッシングやホエーリングなど様々な形態のフィッシング攻撃は、会社内の特定の人に対して入念に作られており、高い成功率を上げる傾向があります。
ウェブサイトのスプーフィング攻撃では、攻撃者が被害者がよく知っていて信用している正当なウェブサイトとまるで同じように見える悪意のあるウェブサイトを用意します。ウェブサイトのスプーフィングでは、フィッシング攻撃と関連性があることが少なくありません。被害者がフィッシングのメール内にあるリンクをクリックすると、その人が使っているウェブサイト(例:銀行サイトへのログインページ)とまるで同じように見えるページが開かれます。被害者はそこで、自分が予想していたのと全く同じロゴ、ブランド名、ユーザーインターフェースを目にすることでしょう。ところが、一旦、ログイン認証情報や個人情報を提供してしまうと、偽装したウェブサイトは、それらの情報を攻撃や詐欺のために使用するために密かに獲得してしまうのです。
アドレス解決プロトコル(ARP)は、ローカルエリアネットワーク(LAN)全体でデータを送信するために、物理的な媒体アクセス制御(MAC)アドレスにIPアドレスを対応づけします。ARPスプーフィング攻撃では、悪意のある者が自身のMACアドレスを正当なIPアドレスと結びつける目的で、ローカルエリアネットワーク全体に偽装したARPメッセージを送ります。そのようにして、攻撃者はそのIPアドレスの所有者専用のデータを盗むか、変更することができるのです。
正当なホストになりすました攻撃者は、自身のMACアドレスでは応答することができないはずのリクエストにも応答をすることができます。攻撃者は正確に配置されたパケットを使い、2つのホスト間のプライベートトラフィックを盗むことができるのです。セッショントークンの交換などの貴重な情報がトラフィックから抽出され、攻撃者がアクセスできないはずのアプリケーションアカウントに完全にアクセスできるようになります。ARPスプーフィングは、MITM攻撃、DoS攻撃、およびセッションハイジャックに採用されることもあります。
ARPがLANのMACアドレスにIPアドレスを対応づけする方法とほぼ同じようにして、ドメインネームシステム(DNS)はドメイン名をIPアドレスに対応づけします。DNSスプーフィング攻撃を行う際、攻撃者はそのホストのドメイン名(例:www.onlinebanking.com)になりすますために、破損したDNSキャッシュ情報をホストに提供します。そして、対象のドメイン名になりすますことに成功すると、攻撃者はそれを使って被害者を欺くか、別なホストへの不正アクセスを得ることができます。
DNSスプーフィングは、被害者が情報を信頼できるソースに送っていると考えているものの実際には悪意のあるホストに機密情報をうっかり送信してしまうようなMITM攻撃にも使用できます。また、被害者はマルウェアを含むサイトにリダイレクトされる可能性もあります。すでにIPアドレスをスプーフィングすることに成功した攻撃者は、DNSサーバーのアドレスを自分のIPアドレスと対応づけるだけで、DNSを容易にスプーフィングできるようになります。
ユーザー教育によってスプーフィング攻撃を防ぐ最良の方法は、自分がスプーフィングされている兆候に対して常に注意を払うように徹底することです。例として、なりすましの電子メールを使用するフィッシング攻撃では、文法的に間違っていたり、送り仮名に間違いがあったり、不自然な言い回しが使われていたりする場合があります。メッセージの内容から、受け取った側がパニックを引き起こすように巧妙に作られており、即時に行動を起こさないといけないような緊急事態の内容の場合があります。よく見直してみると、送信者のメールアドレスが1文字欠けていたり、メッセージ内に挿入されたURLが実際のものとはスペルが微妙に異なっていたりすることに気づくこともあるでしょう。インシデント検知と対応のソリューションを導入することで、そのような場合に引き起こされる異常なユーザー活動に対するプロアクティブなアラートが可能となり、組織をより強力に守ることができます。
スプーフィング攻撃のメッセージを受け取ったと思った場合は、メール、テキスト、または別の経路を通じて到着したかどうかに関係なく、メッセージ内のリンクや添付ファイルを絶対にクリックしてはなりません。メッセージが正しいことを確認するために、自身で見つけた連絡先情報を使って送信者に連絡してみてください。攻撃者に連絡することになる可能性があるため、メッセージには、電話番号や他のアドレスを絶対に記載しないでください。また、メッセージがアカウントへのログインを求めている場合は、提供されたリンクをクリックせずに、ブラウザーで別のタブやウィンドウを開き、正しいやり方でログインしてみてください。
スマートセキュリティのツールもスプーフィング攻撃の防止に役立ちます。例えば、スパムフィルターなら、ほとんどのフィッシングメールが受信トレイに届かなくなります。一部の組織やネットワークキャリアでは、スパム通話がユーザーの電話にかからないようにするために同様のソフトウェアを使用しています。スプーフィングを検知するためのソフトウェアなら、検知の機能を強化することで被害を未然に防止して、上記のようなスプーフィング攻撃からシステムを保護できるようになります。
いくつかのベストプラクティスによって、スプーフィング攻撃の被害を軽減することができます。ネットワーク内の認証については、信頼関係に依存するのをできる限り避けてください。そうしない限り、信頼関係を悪用した攻撃者によるスプーフィング攻撃が成功してしまいかねません。パケットフィルタリングは相反するソースアドレス情報を含むパケットを検知してブロックすることができるため、IPスプーフィング攻撃を防止することができます。HTTP Secure(HTTPS)やSecure Shell(SSH)といった暗号化通信用プロトコルを使用することで、保護をさらに強化するすることができます。