アドレス解決プロトコル(ARP)とは?
アドレス解決プロトコル(ARP)は、ローカルネットワーク内でIPアドレスをMACアドレスに変換するプロトコルであり、認証機構を持ちません。同一ネットワークセグメント内のIPアドレスにトラフィックを送信するには、パケットをレイヤ2で配送するために対応するハードウェアMACアドレスが必要です。ARPは「IPアドレスX.X.X.Xを持っているのは誰ですか?」とリクエストをブロードキャストします。システムは検証なしに任意のデバイスからの応答を受け入れるため、攻撃者が任意のIPアドレスを主張し、トラフィックをリダイレクトすることが可能です。
このプロセスは、システムがローカルネットワーク上の他のデバイスと通信する必要がある場合(たとえば、内部ファイルサーバーへのアクセスやデフォルトゲートウェイ経由でのトラフィックルーティングなど)に自動的に発生します。ただし、必要なMACアドレスが以前のARP解決でキャッシュされている場合は除きます。1982年のプロトコル仕様であるRFC 826は、レイヤ3(ネットワーク層)とレイヤ2(データリンク層)間の基本的なアドレス不一致をARPがどのように解決するかを定義しています。
.jpg)
アドレス解決プロトコルとサイバーセキュリティの関係
ARPには認証、暗号化、検証の仕組みがありません。この信頼性のない設計により、攻撃者はプロトコルレベルの検証を回避してARPキャッシュを汚染できます。
NIST CVE-1999-0667は、基本的な脆弱性を次のように示しています。「ARPプロトコルは、任意のホストがARP応答を偽装し、ARPキャッシュを汚染してIPアドレススプーフィングやサービス拒否を実行できる。」これはパッチで修正できる実装上のバグではなく、プロトコル設計上の問題であり、補完的な制御が必要です。
MITRE ATT&CK Technique T1557は、ネットワークアクセスを持つ攻撃者がARPスプーフィングによって実現される中間者攻撃を用いてリアルタイムでトラフィックを操作することを記録しています。ARPキャッシュを汚染してシステム間に位置する攻撃者は、レイヤ3のセキュリティ制御を完全に回避します。Dynamic ARP Inspectionのようなレイヤ2制御はパケットの送信元を検証し、 振る舞い分析やレイヤ3以上での監視は、ARPスプーフィング後に発生する認証情報の窃取や ラテラルムーブメントを特定できます。 SentinelOneのSingularityプラットフォームは、ネットワーク層の異常とエンドポイントのアクティビティパターンを関連付けることで、この振る舞いの相関を提供します。ラテラルムーブメントを可能にするARPスプーフィングは、 Purple AIによって、不審な認証やプロセス実行の連続を特定し、アクティブな侵害を示します。
CISAは重要インフラや産業制御システムにおけるARPの脆弱性を文書化し、ITネットワーク以外のリスクを強調しています。プロトコルの普及により、攻撃者がローカルネットワークアクセスを得た場所ならどこでも悪用の機会が存在し、レイヤ3のセキュリティ制御では同一ブロードキャストドメイン内のレイヤ2攻撃を防げません。
実際の攻撃は、これらのプロトコルレベルの脆弱性を示しています。2013年のTarget侵害では、攻撃者がARPスプーフィングを悪用して内部ネットワークをマッピングし、HVACベンダーの認証情報を使って初期アクセスを得た後にラテラルムーブメントを実現しました。この偵察とネットワークポジショニングにより、4,000万件のクレジットカード情報と7,000万件の顧客情報が盗まれ、総額2億200万ドルの損害が発生しました。2015年のウクライナ電力網攻撃では、APTアクターがスピアフィッシングとネットワーク偵察を行い、BlackEnergyマルウェアを展開しました。この多段階攻撃は、ICS-CERTレポートで記録されているように、3つの電力配給会社で22万5,000人の顧客に影響を与えました。
これらのプロトコルレベルの脆弱性を理解するには、ARPの自動アドレス解決を可能にする技術的要素を検証する必要があります。
アドレス解決プロトコルの主要コンポーネント
ARP解決には4つのコンポーネントが関与しており、それぞれが潜在的な攻撃対象領域となります。ローカルネットワークアクセスを得た攻撃者は、これらのいずれかを操作してトラフィックをリダイレクトできます:
- ARPキャッシュテーブル:ほとんどのIPv4ネットワークデバイスは、最近のIPとMACアドレスのマッピングを保存するARPキャッシュを保持しており、動的エントリはARP応答から学習し、一部のデバイスでは手動で設定可能な静的エントリも存在します。
- ARPリクエストパケット:ローカルサブネット上のIPに対するMACアドレスが必要な場合、システムは送信元IPとMACアドレス、そしてターゲットIPアドレスを含むARPリクエストをブロードキャストします。
- ARPリプライパケット:要求されたIPアドレスを持つデバイスは、ターゲットのMACアドレスを含むユニキャストARPリプライをリクエスタのMACアドレスに直接送信し、リクエスト側システムはARPキャッシュを更新します。
- ブロードキャストドメイン:VLANアーキテクチャはARPが動作するレイヤ2のブロードキャストドメインを定義し、リクエストはルーターやレイヤ3境界を越えません。
これらのコンポーネントを理解することで、ARPスプーフィング攻撃が解決プロセスのどこに介入するかを認識できます。
アドレス解決プロトコルの動作
解決プロセスはパケットキャプチャで確認できる予測可能なシーケンスに従います。
- アドレス解決の必要性とブロードキャストリクエスト:アプリケーションがローカルサブネット上の10.1.1.50と通信する必要があります。システムはまずARPキャッシュを確認します。有効なエントリがなければ、MACアドレスFF:FF:FF:FF:FF:FFにARPリクエストをブロードキャストし、「10.1.1.50を持っているのは誰ですか?10.1.1.25に知らせてください」(リクエスト元IPアドレス)と問い合わせます。
- ターゲットからの応答とキャッシュへの登録:IPアドレス10.1.1.50を持つデバイスが自身のアドレスを認識し、「10.1.1.50はMACアドレス00:0c:29:3f:47:8aです。」という内容のユニキャストARPリプライをリクエスト元のMACアドレスに送信します。リクエスト側システムは新しいIPとMACのバインディングでARPキャッシュを更新し、元の通信を継続します。
- グラチュイタスARP:システムはインターフェースの初期化やIPアドレス変更時に、要求されていないARPアナウンスも送信します。攻撃者はこの挙動を悪用し、正規のリクエストを待たずに悪意のあるグラチュイタスARPメッセージを送信してキャッシュを汚染します。
自動解決は運用上の利点をもたらしますが、認証の欠如はセキュリティ上のトレードオフを生み出し、管理が必要です。
アドレス解決プロトコルの主な利点
ARPは、IPv4ネットワークが論理IPアドレスと物理ハードウェア間でパケットをルーティングするために必要なアドレス変換を処理します:
- 自動アドレス解決:管理者は数千台のデバイスに対してIPアドレスとMACアドレスを手動でマッピングする必要がありません。ARPがこの変換を透過的に処理します。
- 動的ネットワーク適応:ハードウェアの変更やIPアドレスの再割り当てが発生すると、ARPがネットワーク全体でバインディングを自動的に更新します。
- ルーティング機能:デバイスは、サブネット外トラフィックのためにデフォルトゲートウェイのMACアドレスを特定するためにARPを使用します。
- ネットワークパフォーマンス:ARPキャッシュにより、すべてのパケットごとにブロードキャストが発生するのを防ぎ、ネットワーク負荷を軽減します。
ARPを自動化するこれらの特性が、同時に悪用可能であることも意味します。
アドレス解決プロトコルの課題と制限
プロトコルの設計は、注意が必要なセキュリティおよび運用上の課題を生み出します。各脆弱性は、ARPの根本的な認証の欠如に起因します。
認証ゼロ
RFC 826は、デバイスが検証なしに任意の送信元からのARP情報を受け入れることを規定しています。この信頼性のない設計は、インサイダー脅威やラテラルムーブメントを含む現代の脅威モデル以前のものです。ローカルネットワーク上の任意のデバイスが任意のIPアドレスを主張でき、プロトコルにはその主張を検証する仕組みがありません。
現代アーキテクチャにおける持続的な脆弱性
ソフトウェア定義ネットワークに関するIEEEの研究は、ARPの脆弱性が最新のSDNアーキテクチャでも持続していることを確認しています。数十年にわたるセキュリティの進化にもかかわらず、基本的なプロトコルは変わっていません。仮想化環境、クラウド隣接ネットワーク、ソフトウェア定義インフラストラクチャも、同じレイヤ2の弱点を継承しています。
ブロードキャストストームのリスク
NIST CVE-2022-27640は、影響を受けるデバイスが過剰なARPブロードキャストリクエストを適切に処理できない実際の悪用事例を記録しています。攻撃者はこの挙動を利用してARPフラッドによるサービス拒否状態を作り出します。スイッチがフラッド処理に苦慮することでネットワーク可用性が低下し、同時に発生する他の悪意ある活動を隠蔽する可能性があります。
保護範囲の限定
ファイアウォール、侵入防止システム、ネットワークアクセス制御はレイヤ3以上で動作します。ARPはレイヤ2で機能するため、これらの制御では同一ブロードキャストドメイン内のARPスプーフィングを防げません。単一のネットワークセグメントにアクセスした攻撃者は、ARPスプーフィングを実行しても境界防御を回避できます。
キャッシュポイズニングの攻撃対象領域
中間者攻撃に関する査読済み研究では、MitM-ARPスプーフィング攻撃は主にオンラインバンキングサービスやその他の個人向けオンラインサービスを標的とすることが示されています。予防制御をすり抜けて成功したキャッシュポイズニングは、SIEMプラットフォームや振る舞い分析ツールによって、侵害を示すパターンを分析し、認証情報の窃取やラテラルムーブメントを特定します。
SentinelOneのようなプラットフォームは、成功したARP攻撃後の異常な認証、プロセス実行、ファイルアクセスを認識する振る舞いAIによって、これらの事後侵害パターンを特定し、攻撃者が目的を達成する前に自律的な対応を可能にします。これらの検知機能があっても、一般的な実装ミスによりネットワークが露出したままになることがあります。
アドレス解決プロトコルにおける一般的なミス
セキュリティチームは、保護を無効化する実装ミスを一貫して犯しています。これらの落とし穴を理解することで、導入時に回避できます。
DHCPスヌーピングの前提条件の未設定
Dynamic ARP Inspection(DAI)を有効化しても、前提条件を忘れている場合があります。エンタープライズスイッチベンダーの設定ガイダンスでは、DAIはグローバルでDHCPスヌーピングが有効化されている必要があるとされています。DHCPスヌーピングバインディングデータベースがなければ、DAIはARPパケットを検証できません。
信頼境界設定の誤り
信頼境界の誤設定により、DHCPサーバー接続やアップリンクポートが信頼済みとしてマークされません。正規のDHCPトラフィックがブロックされ、ネットワーク障害や誤検知が発生します。
バインディングのない静的IPデバイス
DAIはDHCP割り当てアドレスに対して有効化されている一方で、サーバーやプリンター、インフラデバイスなど静的IPを使用する機器が見落とされることがあります。エンタープライズネットワークスイッチのドキュメントでは、DAIは非DHCPデバイスに対して静的IPバインディングエントリが必要とされています。この手順を省略すると、正規の静的IPデバイスがDAI検証に失敗し、ネットワーク接続を失います。
ログ分析の無視
DAIが稼働していても、誰もセキュリティイベントログを監視していない場合があります。DAI検証失敗やARPパケットドロップがアクティブなARPスプーフィング試行を示していても、誰も確認しないため攻撃が見逃されます。
DAIログをSIEMプラットフォームに取り込み、SentinelOne Singularityなどのソリューションからのエンドポイントテレメトリと相関させることで、レイヤ2攻撃と認証情報の悪用やラテラルムーブメントを関連付けるコンテキストが得られます。生のARP検証失敗が、自律的な対応機能を持つ実用的な脅威インテリジェンスに変換されます。
これらのミスを回避するには、標準に基づいた導入手順を正しい順序で実施する必要があります。
アドレス解決プロトコルのベストプラクティス
標準に基づく保護には、正しい順序で実装された多層的なセキュリティ制御が必要です。以下のプラクティスは、スイッチレベルでARPの脆弱性に対処しつつ、ネットワーク機能を維持します。
Dynamic ARP Inspectionを正しく実装する
エンタープライズネットワークスイッチベンダーのドキュメントによれば、DAIはLAN上のARPパケットを検査し、DHCPスヌーピングデータベースエントリと照合することで、ARPスプーフィングやポイズニング攻撃からスイッチを保護します。システムはARPパケットをMAC-IPバインディングと照合し、信頼されていないポートから到着した無効なパケットを破棄します。
必要な設定手順を順守する
NIST Special Publication 800-215は、安全なリモートアクセスとSASEフレームワークに焦点を当てています。エンタープライズスイッチメーカーの公式技術ドキュメントでは、まずDHCPスヌーピングを設定し、サーバー接続やアップリンクポートをDHCP信頼済みとしてマークすることを推奨しています。その後、VLANごとにDHCP検査を有効化し、非DHCPデバイス用に静的IPバインディングを作成し、テストセグメントからVLANごとにDynamic ARP Inspectionを有効化します。
静的IPバインディングテーブルの維持
静的IPアドレスを使用するすべてのサーバー、ネットワーク機器、プリンター、IoTデバイスには、DAI設定で手動のバインディングエントリが必要です。導入時にこれらのデバイスを文書化し、インフラ変更時にはバインディングを更新してください。
レートリミットの設定
インターフェースごとに適切なARPパケットレートリミットを設定し、検査プロセスを悪用したサービス拒否攻撃を防止します。ベンダーの推奨(例:インターフェースごとに1秒あたり15パケットなど)を参考にしつつ、自組織のARPトラフィックパターンに基づいてしきい値を調整してください。
ネットワークアーキテクチャのセグメント化
適切なネットワークセグメント化により、1つのサブネットで発生した攻撃が他のセグメントのデバイスに影響を与えるのを防ぎます。ARPはブロードキャストドメイン内で動作するため、アーキテクチャ上のセグメント化は攻撃の伝播を制限し、ネットワークセグメントごとの攻撃対象領域を削減します。
SIEMとの連携による監視
エンタープライズスイッチベンダーのドキュメントでは、DAIログに送信元MACアドレス、VLAN、IPアドレス、タイムスタンプが含まれるとされています。これらのログをセキュリティ情報イベント管理システムに取り込み、他のセキュリティイベントやパターン分析と相関させて、協調攻撃キャンペーンを示す兆候を特定します。SentinelOne Singularityのようなセキュリティプラットフォームは、ARP関連のセキュリティイベントと認証失敗やラテラルムーブメント指標を相関させ、レイヤ2攻撃とビジネスインパクトを結び付けます。
補完的なレイヤ2セキュリティの導入
物理ポートごとのMACアドレス制限を行うポートセキュリティ、スパニングツリー攻撃を防ぐBPDU Guard、DHCPスヌーピングのレートリミットなどを実装します。これらの制御はDAIと連携し、データリンク層で多層防御を実現します。
予防的制御が基盤を築きます。予防が失敗した際に攻撃を特定することで、セキュリティアーキテクチャが完成します。
SentinelOneによるARP攻撃の阻止
Dynamic ARP Inspectionを回避した攻撃者や、レイヤ2保護のないネットワークセグメントで活動する攻撃者は、可視性のギャップを生み出します。セキュリティアーキテクチャには、ARP関連の異常とエンドポイントの挙動を相関させることが求められます。SentinelOne Singularityは、ネットワークイベントとエンドポイントテレメトリを横断的に分析し、ARPスプーフィング攻撃後の認証情報窃取、権限昇格、ラテラルムーブメントを特定します。
Singularityプラットフォームは、レイヤ2ネットワーク制御とレイヤ3以上のセキュリティツール間の根本的なギャップに対応します。DAIはスイッチレベルで偽造ARPパケットをブロックしますが、未保護セグメントや制御導入前のウィンドウでキャッシュ汚染に成功した攻撃者には、振る舞い分析が必要です。 Purple AIは、異常な認証パターン、不審なプロセス実行、ネットワーク層イベントと連動した異常なファイルアクセスを相関させます。スイッチで記録されたARP異常が、実際の認証情報悪用とエンドポイント上の活動に結び付きます。
Purple AIは、ネットワーク異常とエンドポイント認証パターンの相関を自動化することで、ARP関連の調査時間を短縮します。数千件のDAIログエントリを手作業で調査する代わりに、Purple AIは実際の侵害行動に先行したARP関連イベントを特定します:盗まれたNTLMハッシュを用いたWindows認証、PowerShellによる偵察コマンド、ファイル共有への不正アクセスなどです。
プラットフォームの自律的な対応機能は、初期攻撃ベクトルに関係なくラテラルムーブメントを阻止し、侵害されたエンドポイントの隔離、不審なプロセスのブロック、データ流出の防止を実現します。レイヤ2制御の導入状況が一貫しないハイブリッド環境を管理するセキュリティチームにとっても、Singularityは発生源に関係なく重要な事後侵害行動を特定します。アラート疲労は、プラットフォームが実際のビジネスインパクトを持つイベントを優先することで軽減されます。
SentinelOneのデモをリクエストし、SingularityがARPベースのラテラルムーブメントを検出し、自律的な対応で認証情報窃取を阻止する方法をご確認ください。
主なポイント
ARPの認証なし設計は変わりません。防御には多層的な制御が必要です:スイッチレベルでのDHCPスヌーピングとDynamic ARP Inspection、攻撃を封じ込めるネットワークセグメント化、予防をすり抜けた場合に備えた振る舞い分析。
制御は順序通りに導入し、DAI有効化前にDHCPスヌーピングを開始してください。DAIログをSIEMに取り込み、エンドポイントテレメトリと相関させます。一部のセグメントに保護がないことを受け入れ、検知能力を構築してください。プロトコルの脆弱性には、プロトコル修正ではなくアーキテクチャ上のセキュリティが求められます。
よくある質問
これらの用語は同じ攻撃を指します:偽造されたARPメッセージが正規のキャッシュエントリを上書きします。セキュリティ関連の文献ではこれらは同義で使用されます。どちらもプロトコルの認証機構の欠如を悪用し、偽のIPとMACアドレスの関連付けを主張することでトラフィックをリダイレクトします。
アクティブなスプーフィングはDAIが検出可能なARPトラフィックを生成しますが、パッシブなキャッシュの観察では現在のキャッシュエントリを既知の正当なバインディングデータベースと比較する必要があります。
ARPはローカルネットワークのブロードキャストドメイン内でレイヤ2で動作し、主にオンプレミスおよびプライベートクラウドネットワークに影響を与えます。パブリッククラウドの仮想ネットワークは、異なるアーキテクチャの分離メカニズムや代替のセキュリティアプローチを採用しています。
しかし、オンプレミスとパブリッククラウドの両方のアーキテクチャにまたがるハイブリッド環境では、異なるセキュリティモデルに合わせた保護戦略が必要となり、適切なネットワークセグメンテーションが維持されていない場合、オンプレミスセグメントでの攻撃がクラウドリソースへのアクセスを可能にすることがあります。
DAIのパフォーマンスへの影響はネットワークアーキテクチャやトラフィックパターンによって異なります。最新のマネージドスイッチはハードウェアASICでインスペクションを処理するため、影響はごくわずかです。DAIは重要なセグメントから段階的にVLAN全体へ有効化し、展開を拡大する前にインスペクションレートやCPUメトリクスを測定してキャパシティを検証してください。
ピーク時のベースラインARPトラフィックを監視し、環境に適したレートリミットを設定してください。
IPv6の導入はエンタープライズネットワークで進んでいますが、多くの組織はIPv4とIPv6のデュアルスタック環境を運用しています。NIST SP 800-215は、この移行期間中、エンタープライズセキュリティアーキテクチャでIPv4ネットワークに対するレイヤ2セキュリティ制御を検討することを推奨しています。Dynamic ARP InspectionのようなARP保護メカニズムは引き続き必要です。
ローカルネットワーク上の攻撃者は、ネットワークアクセスを得てから数秒以内に一般的なツールを使ってARPキャッシュをポイズニングできます。RFC 826やIEEEの研究によれば、この攻撃には高度なエクスプロイトは不要で、ローカルブロードキャストドメイン上で偽造ARPパケットを送信できれば実行可能です。
プロトコルの信頼性のない設計による脆弱性は、ARPセキュリティにおいて予防的なレイヤ2制御が不可欠である理由を強調しています。
ダイナミックARPエントリはARP応答から自動的に学習され、タイムアウト期間(通常2~20分、オペレーティングシステムによる)後に期限切れとなります。スタティックARPエントリは管理者が手動で設定し、明示的に削除されるまで保持されます。
スタティックエントリは重要なインフラ機器に対するARPキャッシュポイズニングを防止しますが、ハードウェアの変更やIPアドレスの再割り当て時には手動での管理が必要です。
