ARPスプーフィングとは？

ARPスプーフィングは、ローカルネットワーク内で通信機器になりすまし、通信内容を盗聴したり改ざんしたりするサイバー攻撃です。ネット・Wi-Fiの危険の一つとして、セキュリティ対策が重要視されています。別名「ARPポイズニング」「ARPキャッシュ・ポイズニング」とも呼ばれます。

この攻撃は、ネットワーク上でIPアドレスとMACアドレスを結びつけるARP（Address Resolution Protocol：アドレス解決プロトコル）という仕組みを悪用します。ARPプロトコルには認証機能がないため、攻撃者は偽のARP情報を送信することで、ネットワーク内の通信を自分のデバイスに誘導できてしまいます。

1980年代から存在する古典的な攻撃手法ですが、現在でも効果的に使用されており、中間者攻撃（MITM）やセッションハイジャック、DDoS攻撃などの起点として利用されます。ネットワーク内部に侵入できる環境であれば、比較的簡単に実行できるため、企業ネットワークや公共Wi-Fiなどで特に警戒が必要なサイバー攻撃です。

ARPスプーフィングを簡単に言うと？

郵便配達の仕組みで例えてみましょう。あなたが友人に手紙を送るとき、郵便局員は住所を見て正しい家に届けます。この「住所」がIPアドレス、「実際の家の場所」がMACアドレスに相当します。

ARPスプーフィングは、悪意のある人物が「その住所の荷物は私の家に届けてください」と郵便局員に嘘の情報を伝える行為です。すると、あなたの友人宛ての手紙がすべてこの悪意のある人物の家に届いてしまいます。その人物は手紙を開けて中身を読み（盗聴）、場合によっては内容を書き換えてから（改ざん）、本来の宛先に転送します。

あなたも友人も、途中で誰かが手紙を見ていたことに気づきません。デジタルの世界では、この「手紙」がパスワードや個人情報、業務上の機密データなどに相当し、「郵便局員」がネットワークの仕組みに該当します。攻撃者はネットワーク上の「道案内係」を騙すことで、すべての通信を自分の手元に集め、内容を盗み見たり書き換えたりできるのです。

ARPスプーフィングの現状

ARPスプーフィングは現在でも活発に使用されている攻撃手法です。Center for Applied Internet Data Analysis（CAIDA）の調査によれば、1日あたり約30,000件のスプーフィング攻撃が発生しており、その中にARPスプーフィングも含まれています。

特に近年では、ARPスプーフィングが単独で使用されるのではなく、より大規模なサイバー攻撃の一部として組み込まれる傾向が強まっています。2017年のNotPetya攻撃では、ソフトウェア更新サーバーへの中間者攻撃（MITM）により正規の更新にマルウェアが混入され、世界中で100億ドル以上の被害が発生しました。このような大規模攻撃の基盤技術として、ARPスプーフィングが使用されることがあります。

2024年から2025年にかけて、公共Wi-Fiやテレワーク環境の増加に伴い、ARPスプーフィングを含むネットワーク層の攻撃への対策が企業にとって重要課題となっています。特に、社内ネットワークのセキュリティ設定が不十分な中小企業では、攻撃者にとって絶好のターゲットとなりやすい状況です。

また、最近では攻撃ツールが高度化・自動化され、専門知識がなくても攻撃を実行できるツールが出回っています。EttercapやBettercapなどのツールは本来、ネットワーク管理やセキュリティテストのために開発されたものですが、悪意のある攻撃者によって悪用されるケースが後を絶ちません。

ARPスプーフィングで発生する被害は？

ARPスプーフィングによる被害は、単なる通信の盗聴にとどまらず、ネットワーク全体の機能不全や大規模な情報漏洩にまで発展する可能性があります。攻撃者がネットワーク内の通信経路を支配できるため、被害の範囲と深刻度は予測困難です。

特に危険なのは、攻撃を受けていることに気づきにくい点です。通信は一見正常に機能しているように見えるため、長期間にわたって情報が盗み続けられる可能性があります。企業ネットワークが攻撃を受けた場合、機密情報や顧客データの漏洩により、法的責任や経済的損失、信頼性の失墜といった深刻な結果を招きます。

ARPスプーフィングで発生する直接的被害

機密情報の盗聴と窃取

攻撃者はネットワーク上を流れるすべての通信を傍受できます。ログイン情報、パスワード、クレジットカード番号、個人情報、社内メールの内容、業務上の機密データなど、暗号化されていない通信はすべて平文で読み取られてしまいます。特に社内ネットワークでは、暗号化されていない通信が多く存在するため、重要な情報が丸ごと漏洩するリスクがあります。公共Wi-Fiでオンラインバンキングを利用した場合、口座情報や取引内容がすべて攻撃者に筒抜けになる危険性があります。

セッションハイジャックによるアカウント乗っ取り

ARPスプーフィングを通じて、ユーザーがログイン後に発行されるセッションID（認証トークン）を盗み取られます。攻撃者はこのセッションIDを使用することで、パスワードを知らなくてもそのユーザーとしてログインでき、アカウントを完全に乗っ取ることができます。お金・アカウントを守るという観点で、SNSアカウント、メールアカウント、オンラインバンキング、業務システムなど、あらゆるオンラインサービスが標的になります。ユーザーが正常にログインしている間に攻撃者も同時にアクセスしているため、被害に気づくのが遅れることが多くあります。

通信内容の改ざん

攻撃者は通信を傍受するだけでなく、その内容を変更して転送することができます。Webサイトの内容を書き換えて偽のページを表示させる、メールの内容を改ざんして誤った情報を伝える、ダウンロードしようとしているファイルをマルウェアに置き換えるといった攻撃が可能です。オンラインバンキングでは送金先の口座番号や金額を改ざんされる危険性があり、金銭的被害に直結します。ユーザーは正規のWebサイトにアクセスしていると思っていても、実際には攻撃者が用意した偽のページを見ているため、被害に気づきません。

ARPスプーフィングで発生する間接的被害

ネットワーク全体の機能不全

ARPスプーフィングがネットワーク内の複数のデバイスに対して実行されると、ネットワーク全体の通信に支障をきたします。通信速度の著しい低下、頻繁な接続切断、特定のサービスへのアクセス不能などが発生し、業務に深刻な影響を与えます。場合によっては、攻撃者が意図的にトラフィックを破棄することで、特定のユーザーやサービスを完全に孤立させるDoS攻撃（サービス拒否攻撃）の手段として利用されることもあります。

二次攻撃の踏み台

ARPスプーフィングは、それ自体が目的というよりも、より大規模なサイバー攻撃の準備段階として使用されることが多くあります。中間者攻撃（MITM）の実現、マルウェアの配布、ランサムウェアの感染、標的型攻撃（APT）の足がかりなど、様々な攻撃の基盤技術として機能します。一度ARPスプーフィングが成功すると、攻撃者はネットワーク内で自由に活動できるようになり、長期間にわたって潜伏しながら機密情報を収集し続けることができます。

企業の信頼性失墜と法的責任

企業ネットワークでARPスプーフィング攻撃により顧客情報や個人情報が漏洩した場合、企業は個人情報保護法に基づく法的責任を負います。情報漏洩の公表、被害者への補償、行政処分などが発生し、経済的損失だけでなく、企業の信頼性が大きく損なわれます。取引先や顧客からの信頼を失い、ビジネスの継続に重大な影響を及ぼす可能性があります。また、情報漏洩の調査や対応には膨大なコストがかかり、中小企業にとっては経営を揺るがす事態となることもあります。

ARPスプーフィングの対策方法

ARPスプーフィングのセキュリティ対策は、技術的な防御策とユーザーの意識向上を組み合わせることで、攻撃のリスクを大幅に低減できます。完全に防ぐことは困難ですが、多層的なセキュリティ対策により被害を最小限に抑えることが可能です。

企業ネットワークでは、ネットワーク機器の設定を適切に行い、監視体制を整えることが基本となります。個人ユーザーの場合は、信頼できないネットワークへの接続を避け、暗号化された通信を使用することが重要です。特に公共Wi-Fiを利用する際は、ARPスプーフィングを含む様々な攻撃のリスクが高いため、慎重な行動が求められます。

また、ARPスプーフィングは内部ネットワークでの攻撃であるため、外部からの攻撃を防ぐファイアウォールだけでは不十分です。ネットワーク内部のセキュリティ対策を強化し、万が一攻撃者がネットワークに侵入した場合でも被害を最小限に抑える仕組みを構築することが重要です。

ARPスプーフィングの対策を簡単に言うと？

引き続き郵便配達の例で考えてみましょう。ARPスプーフィング対策は、郵便配達システムに「本人確認の仕組み」を追加するようなものです。

まず、郵便局が信頼できる「住所録」を作成し、勝手に変更できないようにします（静的ARPエントリ）。次に、郵便局員が「この住所に届けてください」という指示を受けたときに、必ず正式な住所録と照合して確認します（Dynamic ARP Inspection）。もし住所録にない情報や矛盾する情報があれば、その荷物は配達せずに調査します。

さらに、手紙の中身を封筒に入れるだけでなく、頑丈な金庫に入れて送ります（暗号化）。これにより、たとえ悪意のある人物が手紙を奪っても、中身を読むことができません。加えて、定期的に配達ルートを監視し、怪しい動きがないか確認します（ネットワーク監視）。

このように、複数の防御策を組み合わせることで、悪意のある人物が郵便配達システムを悪用することを難しくし、たとえ一部の防御が破られても、他の防御で被害を最小限に抑えることができます。

技術的な対策

Dynamic ARP Inspection（DAI）の導入

Dynamic ARP Inspection（DAI）は、ネットワークスイッチに実装されるセキュリティ機能で、ARPパケットの正当性を検証します。信頼できるデータベース（DHCPスヌーピングバインディングテーブル）と照合し、不正なARPパケットを自動的にブロックします。企業ネットワークでDAIを有効にすることで、ARPスプーフィング攻撃の大部分を防ぐことができます。ただし、静的IPアドレスを使用している場合は、別途静的ARPエントリの設定が必要になります。

静的ARPエントリの設定

重要なサーバーやネットワーク機器については、IPアドレスとMACアドレスの対応関係を手動で固定的に設定します。これにより、攻撃者が偽のARP情報を送信しても、設定済みの情報が優先されるため、攻撃が無効化されます。ただし、ネットワーク環境が変更されるたびに手動で更新する必要があるため、管理負荷が増加します。規模の大きなネットワークではDAIの使用が推奨されます。

VLANによるネットワークセグメンテーション

ネットワークを複数のVLAN（仮想LAN）に分割することで、ARPスプーフィングの影響範囲を限定します。部署ごと、機能ごとにVLANを分けることで、一つのセグメントが攻撃を受けても、他のセグメントへの影響を防ぐことができます。また、ゲストネットワークと社内ネットワークを分離することで、外部からの攻撃リスクを低減できます。

ARPパケット監視ツールの導入

Arpwatch、XArp、AntiARPなどのツールを使用して、ネットワーク上のARP通信を継続的に監視します。これらのツールは、IPアドレスとMACアドレスの対応関係に変更があった場合に警告を発し、管理者に通知します。異常なARPトラフィックの急増、同一IPアドレスに対する複数のMACアドレス登録など、攻撃の兆候を早期に検知できます。ログを定期的にチェックし、不審な活動がないか確認することが重要です。

ユーザー側の対策

暗号化通信の使用

HTTPS、VPN、SSHなど、暗号化された通信プロトコルを使用することで、たとえ通信が傍受されても、内容を読み取られるリスクを大幅に低減できます。Webサイトにアクセスする際は、URLバーに鍵マークが表示され、「 https:// 」で始まることを確認します。ただし、HTTPS証明書自体が偽装される可能性もあるため、証明書の発行元を確認する習慣をつけることが望ましいです。

VPNの利用

特に公共Wi-Fiや信頼できないネットワークに接続する際は、VPN（Virtual Private Network）を使用します。VPNは、デバイスとVPNサーバー間の通信を暗号化トンネルで保護するため、ARPスプーフィングを含む様々なネットワーク層の攻撃から防御できます。企業が提供するVPNサービスや、信頼できる有料VPNサービスの利用を推奨します。無料VPNサービスの中には、プライバシーポリシーが不明瞭なものもあるため、注意が必要です。

不審なネットワークへの接続回避

公共Wi-Fi、特にパスワードで保護されていないオープンネットワークへの接続は極力避けます。カフェやホテルなどでWi-Fiを利用する必要がある場合は、店員に正規のネットワーク名（SSID）を確認し、類似した名前の偽ネットワークに接続しないよう注意します。可能であれば、スマートフォンのテザリング機能を使用して、自分専用のネットワークを構築する方が安全です。

デバイスのWi-Fi自動接続設定の無効化

スマートフォンやパソコンが自動的にWi-Fiネットワークに接続する設定になっていると、意図せず危険なネットワークに接続してしまう可能性があります。デバイスの設定で、既知のネットワークへの自動接続を無効にするか、接続前に確認を求める設定に変更します。また、使用していないWi-Fi機能はオフにしておくことで、不要な接続を防げます。

多要素認証（MFA）の有効化

ARPスプーフィングによりパスワードが盗まれた場合でも、多要素認証が有効になっていれば、攻撃者がアカウントにアクセスすることを防げます。SMS、認証アプリ、セキュリティキーなど、複数の認証方法を組み合わせることで、セキュリティレベルを大幅に向上できます。特に、銀行口座、メールアカウント、クラウドサービスなど、重要なサービスでは必ず多要素認証を有効にすることを推奨します。

ARPスプーフィングに関連した攻撃手法

ARPスプーフィングは単独で実行されることもありますが、多くの場合、他の攻撃手法と組み合わせて使用されます。ネット・Wi-Fiの危険カテゴリ内の攻撃手法との関連性を理解することで、より包括的なセキュリティ対策が可能になります。

中間者攻撃（MITM）／セッションハイジャック

ARPスプーフィングは、中間者攻撃（MITM）を実現する最も効果的な技術的手段の一つです。中間者攻撃（MITM）／セッションハイジャックでは、攻撃者が通信する二者の間に割り込み、通信内容を盗聴したり改ざんしたりします。

ARPスプーフィングを使用することで、攻撃者はローカルネットワーク内で「このIPアドレスの通信は私に送ってください」という偽の情報を流し、本来ルーターに送られるべき通信を自分のデバイスに誘導します。これにより、完璧な中間者攻撃（MITM）の状態が成立し、すべてのパケットを傍受できます。さらに、盗んだセッションIDを使ってセッションハイジャックを実行し、ユーザーのアカウントを乗っ取ります。

つまり、ARPスプーフィングは中間者攻撃（MITM）の「設置手段」であり、中間者攻撃（MITM）／セッションハイジャックは「攻撃内容」という関係にあります。どちらもネット・Wi-Fiの危険として密接に関連しており、対策も共通する部分が多くあります。

偽Wi-Fi（Evil Twin／なりすましAP）

偽Wi-Fi（Evil Twin／なりすましAP）とARPスプーフィングは、どちらも中間者攻撃（MITM）を実現する手段として使用されますが、アプローチが異なります。

偽Wi-Fi（Evil Twin／なりすましAP）では、攻撃者が正規のWi-Fiアクセスポイントと同じ名前（SSID）の偽のアクセスポイントを設置し、ユーザーをそこに接続させます。ユーザーが偽Wi-Fiに接続すると、すべての通信が最初から攻撃者のデバイスを経由するため、ARPスプーフィングを使わなくても中間者攻撃（MITM）が成立します。

一方、ARPスプーフィングは、既存の正規ネットワーク内で実行される攻撃です。攻撃者が正規ネットワークに接続した状態で、他のユーザーの通信を自分のデバイスに誘導します。どちらの攻撃も、公共の場所で特に危険性が高く、HTTPS通信とVPN使用が有効な対策となります。

DDoS攻撃

ARPスプーフィングは、DDoS攻撃の実行手段としても悪用される可能性があります。DDoS攻撃では、複数のデバイスから標的のサーバーに大量のトラフィックを送りつけ、サービスを停止させます。

攻撃者はARPスプーフィングを使用して、ネットワーク内の複数のデバイスに偽のARP情報を送信します。この際、標的とするサーバーのMACアドレスを指定することで、ネットワーク内の大量のトラフィックが標的サーバーに集中するよう仕向けることができます（ARPフラッディング）。また、特定のデバイスやサーバー宛ての通信をすべて攻撃者のデバイスに誘導し、その後転送せずに破棄することで、ネットワーク上の通信を妨害するDoS攻撃も可能です。

ARPスプーフィングとDDoS攻撃の組み合わせは、ネットワーク全体の機能を停止させる強力な手段となるため、企業ネットワークでは特に警戒が必要です。

ARPスプーフィングのよくある質問

Q1: ARPスプーフィング攻撃を受けていることを確認する方法はありますか？

ARPスプーフィング攻撃は非常に検知が難しいですが、いくつかの兆候に注意することで気づく可能性があります。

通信速度が突然遅くなった、特定のWebサイトやサービスに接続できなくなった、HTTPSで保護されているはずのサイトで証明書の警告が表示されるようになった、といった症状が現れた場合は注意が必要です。また、いつもと異なるログイン通知が届いたり、自分がアクセスしていないのにアカウントが使用された形跡がある場合も、攻撃を受けている可能性があります。

技術的な確認方法としては、コマンドプロンプト（Windows）やターミナル（Mac/Linux）で「arp -a」コマンドを実行し、ARPテーブルを確認します。同じIPアドレスに対して複数のMACアドレスが登録されている、または重複したMACアドレスが複数のIPアドレスに割り当てられている場合は、ARPスプーフィング攻撃の可能性があります。ただし、これらの兆候だけでは確定的な判断は困難なため、不審な点があればネットワーク管理者に相談するか、セキュリティ専門家の診断を受けることを推奨します。

Q2: 家庭用のWi-FiルーターでもARPスプーフィングの被害に遭いますか？

はい、家庭用Wi-Fiルーターでも被害に遭う可能性があります。特に、Wi-Fiのパスワードが脆弱な場合や、ルーターのセキュリティ設定が不十分な場合はリスクが高まります。

家庭内ネットワークでARPスプーフィング攻撃が発生するシナリオとしては、まず攻撃者がWi-Fiのパスワードを破ってネットワークに侵入します。侵入後、ARPスプーフィングを実行して家族のデバイスの通信を傍受します。また、家庭用IoT機器（スマート家電、監視カメラなど）のセキュリティが脆弱な場合、それらが侵入の足がかりとなり、同じネットワーク内の他のデバイスへの攻撃に利用される可能性もあります。

対策としては、Wi-Fiのパスワードを強固なものに設定し（12文字以上の英数字記号の組み合わせ）、定期的に変更します。ルーターのファームウェアを最新の状態に保ち、WPA3またはWPA2による暗号化を有効にします。また、ゲストネットワーク機能がある場合は、来客用と家族用でネットワークを分離することで、万が一ゲストネットワークが侵害されても、家族のデバイスへの影響を最小限に抑えられます。

Q3: 公共Wi-Fiを使う際、どうしても重要な作業をしなければならない場合はどうすればいいですか？

緊急性が高く、公共Wi-Fiを使わざるを得ない状況では、以下の対策を必ず実施してください。

まず、VPNを必ず使用します。VPNは通信を暗号化トンネルで保護するため、ARPスプーフィングを含む様々な攻撃から防御できます。企業のVPNサービスがある場合はそれを使用し、ない場合は信頼できる有料VPNサービス（NordVPN、ExpressVPN、ProtonVPNなど）を利用します。無料VPNは避けることを推奨します。

次に、アクセスするWebサイトがHTTPSで保護されていることを必ず確認します。URLバーに鍵マークが表示され、「https://」で始まることを確認します。また、二要素認証が設定されているアカウントのみ使用し、パスワードだけでログインできるサービスは避けます。

可能であれば、スマートフォンのテザリング機能を使用して、自分専用のネットワークを構築する方が安全です。データ通信量は消費しますが、公共Wi-Fiのリスクを完全に回避できます。また、作業終了後は必ずログアウトし、セッションを終了させます。ブラウザのキャッシュとCookieをクリアすることも推奨されます。

それでも、できる限り重要な作業（銀行取引、機密情報の送信など）は公共Wi-Fiでは行わず、安全な環境で後から実施することが最も確実な対策です。

Q4: ARPスプーフィングは違法ですか？

はい、日本国内でARPスプーフィングを使用して他人の通信を盗聴したり、ネットワークに不正にアクセスしたりする行為は、不正アクセス禁止法により明確に禁止されており、刑事罰の対象となります。

不正アクセス禁止法（正式名称：不正アクセス行為の禁止等に関する法律）では、ネットワーク上の他人の通信を不正に傍受する行為、他人のアクセス制御機能を回避する行為などが処罰対象とされています。ARPスプーフィングによる通信の盗聴や改ざんはこれに該当し、違反した場合は3年以下の懲役または100万円以下の罰金が科される可能性があります。

ただし、ネットワーク管理者が自社ネットワークのセキュリティテストやトラブルシューティングの目的で、適切な許可と管理のもとでARPスプーフィングの仕組みを検証することは、正当な業務として認められます。また、セキュリティ研究者が閉じられた実験環境で攻撃手法を研究することも、倫理的なガイドラインに従っている限り問題ありません。

重要なのは、ARPスプーフィングの技術自体は悪ではなく、その使用目的と対象が問題であるという点です。セキュリティ対策を強化するためには攻撃手法を理解することが必要ですが、実際に他人のネットワークや通信に対して無許可で実行することは犯罪行為です。

Q5: 企業のネットワーク管理者としてARPスプーフィング対策を実施する際、最優先で取り組むべきことは何ですか？

企業ネットワーク管理者として最優先で取り組むべきは、ネットワークスイッチでのDynamic ARP Inspection（DAI）の有効化です。DAIは、ARPパケットの正当性を検証し、不正なパケットを自動的にブロックする機能で、最も効果的なARPスプーフィング対策の一つです。

具体的な実施手順としては、まず現在のネットワーク構成とスイッチの機能を確認します。DAIに対応したマネージド・スイッチが導入されているか、ファームウェアが最新であるかを確認します。次に、DHCPスヌーピングを有効にします。DAIはDHCPスヌーピングバインディングテーブルを参照するため、これが前提条件となります。その後、各VLANでDAIを有効にし、信頼できるポート（上位スイッチやルーターに接続されているポート）を設定します。

並行して、ネットワークセグメンテーションを実施します。部署ごと、機能ごとにVLANを分割し、ARPスプーフィングの影響範囲を限定します。特に、ゲストネットワークと社内ネットワーク、IoT機器用ネットワークを分離することが重要です。

また、ネットワーク監視体制の構築も欠かせません。Arpwatchなどの監視ツールを導入し、ARPテーブルの変更を継続的に監視します。異常が検知された場合の対応手順を事前に定め、インシデント対応チームを編成しておくことも重要です。

さらに、従業員へのセキュリティ教育も並行して実施します。公共Wi-Fiの危険性、VPNの使用方法、不審なネットワークへの接続回避など、技術的対策だけでなく、人的対策も組み合わせることで、包括的なセキュリティ体制を構築できます。