シーケンス番号予測攻撃、中間者攻撃、DDoS攻撃とは？ TCP/IPを襲う攻撃：TCP/IPの7大脅威【後編】

「TCP/IP」を脅かすサイバー攻撃には、どのようなものがあるのか。主要な攻撃のうち「シーケンス番号予測攻撃」「中間者攻撃」「DoS／DDoS攻撃」の概要と対策を解説する。

[Sharon Shea，TechTarget]

　インターネットで安全な通信をするためには、その基本的なプロトコル群「TCP/IP」に関する攻撃と対策を知っておくことが重要だ。前編「いまさら聞けない『TCP/IP』とは？　何が危険なのか？」、中編「ARPスプーフィング、ポートスキャン、ICMP攻撃とは？　『TCP/IP』を狙う攻撃」に続き、TCP/IPを取り巻く主要な攻撃と対策を紹介する。

1. IPスプーフィング（前編で紹介）
2. ARPスプーフィング（中編で紹介）
3. ポートスキャン（中編で紹介）
4. ICMP攻撃（中編で紹介）
5. シーケンス番号予測攻撃
6. 中間者攻撃（会員限定）
7. DoS／DDoS攻撃（会員限定）

併せて読みたいお薦め記事

インターネット利用時のセキュリティ対策

• 「パスワードは最低12文字」では不十分？　在宅勤務での情報漏えいを防ぐ方法
• 在宅勤務を危険にする「知識不足」「モバイル」「不審ソフト」への対処法は？
• IoTデバイスで「IEEE 802.11」無線LANを採用すべき理由と、注意すべき限界

TCP/IPの基礎知識

• いまさら聞けない「TCP/IP」と「OSI参照モデル」の違いは？
• 即時性か信頼性か、レイヤー4のプロトコル「TCP」と「UDP」

5．シーケンス番号予測攻撃

概要

　前編で紹介した通り、TCP/IPを構成する主要プロトコルである「IP」（インターネットプロトコル）は、伝送するデータをパケット単位に分割する。もう一つの主要プロトコル「TCP」（伝送制御プロトコル）は、これらのパケットに順序付けのための番号である「シーケンス番号」を割り振る。送信元は全てのパケットを受け取ると、シーケンス番号に基づいてパケットを再編成する。

　シーケンス番号予測攻撃は、攻撃者がシーケンス番号を予測し、送信者になりすまして偽のパケットを差し込む。その際、後述のDoS（サービス拒否）／DDoS（分散型サービス拒否）攻撃によって正規の送信者を隔離する。偽のパケットを送ることで、攻撃者は標的のシステムに侵入して、マルウェアを仕込めるようになる。

対策

　インターネット関連技術の標準化団体IETF（Internet Engineering Task Force）は、シーケンス番号予測攻撃を防止するため、シーケンス番号を付ける新アルゴリズムを2012年に公開した。「パケットフィルタリング」を使用して不正なIPアドレスをブロックすることで、さらにセキュリティを強化できる。

6．中間者攻撃

概要

　クライアントとサーバの間に攻撃者が割り込み、そこでやりとりされるデータに対して不正操作を実施する攻撃が中間者攻撃だ。攻撃者はデータの傍受、挿入、変更といった操作をクライアントやサーバに気付かれずに実行できる。

対策

　強力な認証を導入することが、中間者攻撃への防御になる。具体的には、認証機能を提供するTLS（トランスポート層セキュリティ）やSSH（セキュアシェル）といった暗号化プロトコルが利用できる。HTTPS通信を使用するセキュアなWebサイトのみにアクセスを制限したり、公衆の無線LANに接続しないようにしたりすることも重要だ。

7．DoS／DDoS攻撃

概要

　標的システムのネットワーク、サーバ、Webサイトなどの遅延やシャットダウンを引き起こすDoS／DDoS攻撃は、正当なシステムやエンドユーザーからのアクセスを阻害する。

対策

　DoS／DDoS攻撃の標的になることを防ぐことは困難だが、システムを最新の状態に保ち、不審なアクセスがないかどうか監視することで、攻撃による被害を軽減できる。負荷分散機能を持つ「ロードバランサー」の利用はDoS／DDoS攻撃対策になる。

---

　全体的に言えるのは、セキュリティの確保にはシステムにパッチを適用することが重要だということだ。ファイアウォール、マルウェア対策、「IDS」（侵入検出システム）／「IPS」（侵入防止システム）も役に立つ。TCP/IPはインターネットにとって欠かせない存在であるが故に、随所で使用されている。そのことを忘れてはいけない。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。