「TCP/IP」を脅かすサイバー攻撃には、どのようなものがあるのか。主要な攻撃のうち「シーケンス番号予測攻撃」「中間者攻撃」「DoS/DDoS攻撃」の概要と対策を解説する。
インターネットで安全な通信をするためには、その基本的なプロトコル群「TCP/IP」に関する攻撃と対策を知っておくことが重要だ。前編「いまさら聞けない『TCP/IP』とは? 何が危険なのか?」、中編「ARPスプーフィング、ポートスキャン、ICMP攻撃とは? 『TCP/IP』を狙う攻撃」に続き、TCP/IPを取り巻く主要な攻撃と対策を紹介する。
前編で紹介した通り、TCP/IPを構成する主要プロトコルである「IP」(インターネットプロトコル)は、伝送するデータをパケット単位に分割する。もう一つの主要プロトコル「TCP」(伝送制御プロトコル)は、これらのパケットに順序付けのための番号である「シーケンス番号」を割り振る。送信元は全てのパケットを受け取ると、シーケンス番号に基づいてパケットを再編成する。
シーケンス番号予測攻撃は、攻撃者がシーケンス番号を予測し、送信者になりすまして偽のパケットを差し込む。その際、後述のDoS(サービス拒否)/DDoS(分散型サービス拒否)攻撃によって正規の送信者を隔離する。偽のパケットを送ることで、攻撃者は標的のシステムに侵入して、マルウェアを仕込めるようになる。
インターネット関連技術の標準化団体IETF(Internet Engineering Task Force)は、シーケンス番号予測攻撃を防止するため、シーケンス番号を付ける新アルゴリズムを2012年に公開した。「パケットフィルタリング」を使用して不正なIPアドレスをブロックすることで、さらにセキュリティを強化できる。
クライアントとサーバの間に攻撃者が割り込み、そこでやりとりされるデータに対して不正操作を実施する攻撃が中間者攻撃だ。攻撃者はデータの傍受、挿入、変更といった操作をクライアントやサーバに気付かれずに実行できる。
強力な認証を導入することが、中間者攻撃への防御になる。具体的には、認証機能を提供するTLS(トランスポート層セキュリティ)やSSH(セキュアシェル)といった暗号化プロトコルが利用できる。HTTPS通信を使用するセキュアなWebサイトのみにアクセスを制限したり、公衆の無線LANに接続しないようにしたりすることも重要だ。
標的システムのネットワーク、サーバ、Webサイトなどの遅延やシャットダウンを引き起こすDoS/DDoS攻撃は、正当なシステムやエンドユーザーからのアクセスを阻害する。
DoS/DDoS攻撃の標的になることを防ぐことは困難だが、システムを最新の状態に保ち、不審なアクセスがないかどうか監視することで、攻撃による被害を軽減できる。負荷分散機能を持つ「ロードバランサー」の利用はDoS/DDoS攻撃対策になる。
全体的に言えるのは、セキュリティの確保にはシステムにパッチを適用することが重要だということだ。ファイアウォール、マルウェア対策、「IDS」(侵入検出システム)/「IPS」(侵入防止システム)も役に立つ。TCP/IPはインターネットにとって欠かせない存在であるが故に、随所で使用されている。そのことを忘れてはいけない。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
