社内ネットワークは「安全な場所」だと思っていませんか。実は同じLANに接続されている端末が一台あれば、通信を丸ごと傍受できてしまう手法が存在します。それが「ARPスプーフィング」です。
ファイアウォールを導入していても、この脅威は内側から発生するため防げません。この記事では、ARPスプーフィングの仕組みから実際の被害シナリオ、そして情シス1人体制の中小企業でも今日から実践できる防御策まで、現場目線で解説します。
ARPスプーフィングとは?(概要とリスクを整理する)
ARP(Address Resolution Protocol)は、IPアドレスからMACアドレスを解決するためのプロトコルです。たとえばあるPCが「192.168.1.1(デフォルトゲートウェイ)のMACアドレスを教えて」とブロードキャストすると、該当する機器が「私のMACアドレスは○○です」と返答します。この対応表を「ARPキャッシュ」と呼びます。
ARPスプーフィング(ARP毒化・ARP Poisoningとも呼ばれます)は、このキャッシュを改ざんする攻撃です。攻撃者が「私こそがデフォルトゲートウェイです」と偽の応答を送り続けることで、被害者の通信を自分のマシンに経由させます。
この攻撃が成功すると次のような被害が発生します。
・通信内容の盗聴: HTTPSでない通信ならパスワードや個人情報が丸見えになります
・データの改ざん: Webページにマルウェアやフィッシングスクリプトが埋め込まれます
・セッションハイジャック: ログイン済みのセッションが乗っ取られます
・マルウェアの挿入: 正規のダウンロードファイルが改ざん済みのものに差し替えられます
この手法が特に危険なのは、外部からの攻撃ではなく、内部ネットワークで完結する点です。境界型のファイアウォールでは検知も防御もできません。
ARPスプーフィングの仕組み(敵を知る)
1. 通常の通信フローを確認する
正常な状態では次のように動作します。
1. PCがゲートウェイに向けてパケットを送信する
2. ゲートウェイがインターネットへ転送する
3. 応答がPCへ返ってくる
ARPキャッシュには「ゲートウェイIP → ゲートウェイのMAC」が正しく登録されています。
2. 攻撃者が介入した場合のフロー
ARPスプーフィングが発動すると、次のように書き換えられます。
1. 攻撃者が「私(攻撃者MAC)がゲートウェイです」という偽のARP応答を繰り返し送信する
2. PCのARPキャッシュが書き換えられ「ゲートウェイIP → 攻撃者MAC」に変わる
3. PCからの全通信が攻撃者のマシンを経由するようになる
4. 攻撃者は内容を確認・改ざんした後、本物のゲートウェイへ転送する(被害者は気づかない)
この状態を「中間者攻撃(Man-in-the-Middle Attack / MITM攻撃)」と呼びます。
【注意】ARPの設計上の弱点
ARPプロトコルには「応答の正当性を検証する仕組みがない」という根本的な弱点があります。30年以上前に設計されたプロトコルであり、現代の脅威モデルに対応していません。攻撃に使われるEttercapやBettercapといったツールはペネトレーションテスト用として公開されていますが、悪意ある利用者が悪用するケースがあります。防御側はこれらの動作原理を理解することで、適切な検知・防御策を設計できます。
具体的な防御手順
1. スタティックARPエントリを設定する
最もシンプルな対策は、重要なIPとMACアドレスの対応を静的(手動)で登録することです。
Windowsの場合、管理者権限のコマンドプロンプトで実行します。
# ゲートウェイのスタティックARPを設定する # netsh interface ipv4 add neighbors を使う(Windows 10/Server 2016以降) netsh interface ipv4 add neighbors "イーサネット" 192.168.1.1 aa-bb-cc-dd-ee-ff
Linuxの場合は、systemd-networkdの設定ファイルに追記します。
# /etc/systemd/network/10-arp-static.network に追記 [Neighbor] Address=192.168.1.1 LinkLayerAddress=aa:bb:cc:dd:ee:ff
端末数が多い環境では管理コストが増大します。ゲートウェイとDNSサーバーなど、クリティカルな機器に絞って適用するのが現実的です。
2. Dynamic ARP Inspection(DAI)を有効化する
企業向けスイッチ(CiscoやJuniper等)が持つDAI(Dynamic ARP Inspection)は、DHCPバインディングテーブルを参照してARP応答の正当性を自動検証する機能です。
DAIが有効な場合、次のように動作します。
・正規のDHCPサーバーから割り当てられたIPとMACの組み合わせのみ許可: 不正な組み合わせは自動ドロップ
・Syslogへの記録: 不正ARP応答を検知するたびにアラートを記録
・スタティックARP登録との組み合わせ: 静的IPを使う機器はDAIの信頼リストに追加して対応
Cisco IOS Switchでの設定例です。
# VLAN 10 に対してDAIを有効化する ip arp inspection vlan 10 # DHCP Snoopingも合わせて有効化する(DAIはDHCP Snoopingテーブルを参照する) ip dhcp snooping ip dhcp snooping vlan 10 # アップリンクポートはtrustedに設定する interface GigabitEthernet0/1 ip arp inspection trust ip dhcp snooping trust
3. ARPウォッチ(監視)を導入する
攻撃をリアルタイムで検知するために、ARPテーブルの変化を監視するツールを導入します。LinuxサーバーにArpwatchをインストールする例を示します。
# Arpwatchのインストール(Debian/Ubuntu系) sudo apt install arpwatch # 起動・自動起動の有効化 sudo systemctl enable arpwatch sudo systemctl start arpwatch # 動作確認 sudo systemctl status arpwatch
ARPキャッシュに想定外の変化が起きると、設定したメールアドレスへ通知が届きます。小規模ネットワークであれば無償で即日導入できます。
4. ネットワークをVLANでセグメント化する
ARPはブロードキャストドメイン内でしか機能しません。VLANでネットワークを分割することで、攻撃の影響範囲を大幅に限定できます。推奨するセグメント構成の例です。
| VLAN名 | 用途 | セキュリティ上の意義 |
|---|---|---|
| 業務端末VLAN | 一般社員のPC・スマートフォン | サーバーへの直接通信を遮断 |
| サーバーVLAN | ファイルサーバー・DBサーバー | 端末からの横断アクセスを防止 |
| ゲストVLAN | 来客・外部業者の端末 | 社内資産への完全分離 |
| 管理VLAN | スイッチ・ルーターの管理インターフェース | ネットワーク機器への不正操作を防止 |
万が一攻撃者が業務端末VLANに侵入しても、サーバーVLANへの横断を防げます。Linuxのファイアウォールと組み合わせた設計については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。
5. 通信をHTTPS/TLSで保護する
ARPスプーフィングに成功した攻撃者でも、HTTPS通信の内容は解読できません(適切に証明書検証が行われている場合)。
・社内Webアプリ: すべてHTTPS化し、HSTSヘッダーを設定する
・メール通信: SMTP/IMAP/POP3はTLSを強制し、平文接続を無効化する
・ファイル共有: SMB over TLSまたはSFTPを使用する
・内部API通信: マイクロサービス間でもTLS相互認証(mTLS)を導入する
「社内だからHTTPでよい」という考え方は、ARPスプーフィングを前提にすると危険です。
中小企業でも今日からできること
費用ゼロ〜少額でできる対策を優先度順に整理します。予算と人的リソースの制約がある中でも、次の順番で着手することをお勧めします。
| 対策 | 費用 | 難易度 | 効果 |
|---|---|---|---|
| ゲートウェイのスタティックARP登録 | 無料 | 低 | 高(ゲートウェイ偽装を直接防止) |
| Arpwatch導入(Linuxサーバー) | 無料 | 低 | 中(異常の早期検知) |
| 社内アプリのHTTPS化 | 証明書費用(Let’s Encryptなら無料) | 中 | 高(盗聴・改ざんを無効化) |
| VLANセグメント化 | 対応スイッチが必要(数万円〜) | 中〜高 | 高(攻撃範囲を限定) |
| DAI有効化 | 対応スイッチが必要 | 中 | 最高(ARP偽装を自動ブロック) |
今すぐできる第一歩は「ゲートウェイのMACアドレスをスタティック登録する」ことです。コストゼロで、最も頻繁に標的にされるゲートウェイ偽装を防げます。次にArpwatchを導入して「異変があればメールで知る」仕組みを作れば、小規模ネットワークの監視体制として十分な出発点になります。
よくある誤解と注意点
【誤解1】「うちはWi-Fiだから有線LANと関係ない」
Wi-Fiも同じブロードキャストドメインであれば、ARPスプーフィングの対象になります。特に認証なしのゲストWi-Fiに悪意あるユーザーが接続した場合、同一セグメントの端末がリスクにさらされます。ゲストWi-Fiは必ず業務LANとは別のVLANに分離してください。
【誤解2】「VPNを使っているから安全」
VPNはトンネル内の暗号化に有効ですが、社内LAN上の通信はVPNトンネルの外です。また、リモートワーク端末がVPN接続中であっても、その端末が接続している自宅や外出先のLAN内ではARPスプーフィングの被害を受ける可能性があります。
【誤解3】「HTTPS化したから完璧」
証明書の警告を無視するユーザーがいる場合、攻撃者が自己署名証明書を使ったSSLストリッピング攻撃(HTTPSをHTTPに格下げする手法)が成立することがあります。ブラウザの証明書警告は絶対に無視しないよう、社員への定期的なセキュリティ教育が必要です。
【注意】ARPスプーフィングツールの利用について
Arpwatch・Ettercap・Bettercapなどのツールは、自社ネットワークの監査・テスト目的での使用は適法ですが、他者のネットワークで無断使用した場合は不正アクセス禁止法の適用対象となる可能性があります。詳細は法律の専門家にご確認ください。
本記事のまとめ
・ARPスプーフィングはARPキャッシュを改ざんしてLAN内通信を傍受する中間者攻撃の手法で、ファイアウォールでは防げない内部脅威です
・攻撃者は同一ネットワークに接続されるだけで実行でき、外部からの侵入は不要です
・対策の基本は「スタティックARP登録」「HTTPS化」「VLANセグメント化」「DAI有効化」の組み合わせです
・費用ゼロで始めるなら「ゲートウェイのMAC固定+Arpwatch導入」が即効性のある第一歩です
・VPN・Wi-Fiを使っていても「社内LAN=安全」という前提は持つべきではありません
社内ネットワークを「信頼されたゾーン」ではなく「攻撃者がいる可能性のある環境」として設計する——これがゼロトラストの発想です。ARPスプーフィング対策はその出発点であり、内部脅威対策を考えるうえで避けて通れない知識です。
社内ネットワークの内部脅威、どこから手をつけるか迷っていませんか?
ARPスプーフィングのような内部脅威は、ツールを入れれば終わりではなく、ネットワーク設計・運用ルール・社員教育が三位一体で機能して初めて防げます。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント