ARPスプーフィング攻撃の検知と対策【ネットワークを狙う代表的攻撃の見抜き方】

ARPスプーフィングは、攻撃者が偽の ARP Reply を送信してネットワーク上の通信を盗聴・改ざん・遮断する手法です。本記事では、実務で使える 検知方法、ログ例、キャプチャ例、対策、再発防止策 をまとめています。

■ ARPスプーフィングとは？（簡潔理解）

ARPスプーフィングは以下を悪用します。

• ARPは認証機能がない（誰でも ARP Reply を送れる）
• ホストは「最後に受信した ARP Reply」を信用してしまう

その結果、以下が起きます。

• 攻撃者がゲートウェイの MAC アドレスになりすます
• 被害者の通信が攻撃者の PC を経由する
• 盗聴、改ざん、MITM（中間者攻撃）が可能

■ 典型的な攻撃例（図解イメージ）

攻撃者が以下の ARP Reply を送る：

「192.168.1.1（ゲートウェイ）は aa:aa:aa:aa:aa:aa（攻撃者MAC）」

被害者PCはこれを信じ、全トラフィックを攻撃者へ送信してしまいます。

■ ARPスプーフィングが疑われる症状

• 通信が急に遅くなる
• 特定の PC だけインターネットが不安定
• ARP テーブルに見慣れない MAC が設定されている
• MAC アドレステーブルが高速に揺れる（MAC フラッピング）
• ARP Reply が異常に多い

■ 調査の流れ（必ずやるべき5ステップ）

1. ARPテーブルの不自然な更新を確認
2. MACアドレステーブルの変動を確認
3. ARPパケットをキャプチャして異常な Reply を特定
4. DHCP Snooping / DAI の動作状況を確認
5. 攻撃元を特定し、ネットワークから隔離

■ ① ARPテーブルの確認（不正MACの検出）

show arp | include 192.168.1.1

【異常例：ゲートウェイのMACが不正に変わっている】

Internet  192.168.1.1   0   aa:aa:aa:aa:aa:aa  ARPA   Vlan10
Internet  192.168.1.1   0   00:1a:2b:3c:4d:5e  ARPA   Vlan10   ←本来のMAC

→ 見慣れない MAC があればスプーフィングの可能性大。

■ ② MACアドレステーブルの高速変動（MACフラッピング）

show mac address-table | include aa:aa:aa:aa:aa:aa

異常例：

* MAC address flapping detected on Gi1/0/5
* MAC address aa:aa:aa:aa:aa:aa moves from Gi1/0/5 to Gi1/0/3

→ 攻撃者が複数のポートから ARP Reply を送っている可能性。

■ ③ ARPパケットのキャプチャ（最重要）

■ キャプチャ開始

monitor capture CAP interface Gi1/0/10 both
monitor capture CAP match arp
monitor capture CAP start

■ 異常な ARP Reply の例

ARP Reply: 192.168.1.1 is at aa:aa:aa:aa:aa:aa
ARP Reply: 192.168.1.1 is at aa:aa:aa:aa:aa:aa
ARP Reply: 192.168.1.1 is at aa:aa:aa:aa:aa:aa

※ 攻撃では ARP Reply が「連続高速」で送られていることが多い。

■ ④ PC側 ARPキャッシュの確認

arp -a

異常例：

192.168.1.1    aa-aa-aa-aa-aa-aa    dynamic

→ 不正 MAC であれば攻撃確定。

■ ⑤ DHCP Snooping / Dynamic ARP Inspection の確認

攻撃が無防備に通っている環境ではスプーフィングが成立します。

show ip dhcp snooping

show ip arp inspection

→ Disabled なら防御なし状態。

■ ARPスプーフィングの原因

• ネットワークに攻撃者が接続している
• 無防備な L2 スイッチ（セキュリティ機能OFF）
• 不正端末の持ち込み（BYOD）
• ゲストネットワークと社内LANの分離不足

■ 対策（即実施すべき項目）

① Dynamic ARP Inspection（DAI）の有効化

ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10

→ DHCP Snooping のバインディングデータを基に、正しい ARP Reply だけ許可。

② DHCP Snooping の設定

ip dhcp snooping
ip dhcp snooping vlan 10
interface Gi1/0/1
  ip dhcp snooping trust

→ 不正な DHCP サーバや ARP スプーフィングを防ぐ基盤となる。

③ Port Security の導入

interface Gi1/0/10
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict

→ 不正端末が MAC を詐称してもブロックできる。

④ ゲストネットワークと社内ネットワークの分離

• VLAN分離
• FWで通信制限
• 家庭・フリーWi-Fiと社内LANの物理隔離

■ 攻撃元の特定

キャプチャした MAC の出現ポートを逆引きする。

show mac address-table | include aa:aa:aa:aa:aa:aa

ポートが特定できたら：

• 該当端末をネットワークから隔離
• セキュリティチームへ報告
• 端末のOSやアプリにマルウェアがないか調査

■ 再発防止策（最も重要）

• DAI（Dynamic ARP Inspection）の常時有効化
• DHCP Snooping を VLAN 全体で適用
• ポートセキュリティでMAC上限を設定
• 不正端末接続防止（NAC、802.1X）
• ログ監視（MACフラッピング、ARP異常）

■ まとめ

ARPスプーフィングは、ネットワーク環境において最も古典的かつ効果的な攻撃方法です。適切に防御すれば被害をほぼゼロにできます。

本記事で紹介したポイントを押さえれば、

• 異常検知（ARP・MAC・ログ）
• 攻撃元の特定
• DAI/DHCP Snooping の導入
• 再発防止策の徹底

まで一通り対応できます。