sg sg-security-measures network_security access_control threat_vulnerability
まず結論
ARP(Address Resolution Protocol)は、IPアドレスから対応するMACアドレスを調べるためのプロトコルです。
SG試験では、ARPそのものの細かい通信手順よりも、IPアドレスとMACアドレスの役割の違い、そしてMACアドレスフィルタリングやARPスプーフィングとの関係を押さえることが大切です。
直感的な説明
ネットワーク通信では、相手を見つけるために2種類の住所を使います。
| 種類 | たとえると | 役割 |
|---|---|---|
| IPアドレス | 宛先の住所 | どのネットワークのどの機器かを示す |
| MACアドレス | 機器そのものの名札 | 同じLAN内で、実際にどの機器へ届けるかを示す |
たとえば、PCが同じLAN内の機器に通信したいとき、IPアドレスだけでは最終的に通信を届けられません。
そこでARPを使って、
このIPアドレスを使っている機器のMACアドレスは何ですか?
と問い合わせます。
つまりARPは、IPアドレスの世界とMACアドレスの世界をつなぐ確認役です。
定義・仕組み
ARPは、IPv4ネットワークで使われる、IPアドレスに対応するMACアドレスを取得するためのプロトコルです。
基本的な流れは次のとおりです。
- PCが通信先のIPアドレスを確認する
- 対応するMACアドレスが分からない場合、LAN内に問い合わせる
- 該当する機器が「そのIPアドレスは自分です」と応答する
- PCは取得したMACアドレスを使って通信する
- 結果をARPテーブルに一時的に保存する
ここで大事なのは、ARPは同じLAN内で使う仕組みだという点です。
遠くのサーバへ通信する場合でも、PCがまず知りたいのは、直接フレームを渡す相手、つまり多くの場合はデフォルトゲートウェイのMACアドレスです。
ARPテーブルとは?
ARPテーブルは、IPアドレスとMACアドレスの対応表です。
一度ARPでMACアドレスを取得すると、毎回問い合わせなくてもよいように、PCやルータはその対応関係をしばらく保存します。
| IPアドレス | MACアドレス |
|---|---|
| 192.168.1.1 | aa:bb:cc:dd:ee:01 |
| 192.168.1.20 | aa:bb:cc:dd:ee:20 |
この対応表があることで、LAN内の通信を効率よく行えます。
ただし、ARPの応答をそのまま信じる仕組みであるため、悪意ある端末が偽の対応関係を送ると、攻撃につながることがあります。
どんな場面で使う?
ARPは、LAN内で通信するときに自動的に使われます。
利用者が意識して設定するものではありません。
代表的な場面は次のとおりです。
| 場面 | ARPの役割 |
|---|---|
| 同じLAN内のPCへ通信する | 相手PCのMACアドレスを調べる |
| ルータを経由して外部へ通信する | デフォルトゲートウェイのMACアドレスを調べる |
| 無線LANルータで接続制御する | IPアドレスから取得したMACアドレスを確認する |
| 通信トラブルを調べる | ARPテーブルを確認する |
添付の問題解説にもあるように、無線LANルータでは、あらかじめ登録したMACアドレスの機器だけを接続許可するMACアドレスフィルタリングが使われることがあります。
このとき、ルータ側は接続を要求するPCのIPアドレスからARPを使ってMACアドレスを取得し、登録済みのMACアドレスと照合します。
MACアドレスフィルタリングとの関係
MACアドレスフィルタリングは、登録されたMACアドレスの機器だけを接続許可する仕組みです。
ARPは、この判断に必要なMACアドレスを取得するために関係します。
ただし、SG試験では次の点に注意が必要です。
MACアドレスフィルタリングは、強力な認証方式ではありません。
MACアドレスは機器を識別する情報ですが、環境によっては偽装される可能性があります。
そのため、MACアドレスフィルタリングだけで安全と考えるのは危険です。
無線LANの安全対策としては、WPA2/WPA3などの暗号化方式、強固なパスワード、不要な接続の制限などと組み合わせて考える必要があります。
ARPスプーフィングとの関係
ARPは便利な仕組みですが、ARPの応答を信じる性質を悪用されることがあります。
代表例がARPスプーフィング、またはARPポイズニングです。
これは、攻撃者が偽のARP応答を送り、
本当はルータではないのに、ルータのIPアドレスは自分のMACアドレスです
と思い込ませる攻撃です。
この結果、通信が攻撃者の端末を経由してしまい、盗聴や改ざん、中間者攻撃につながるおそれがあります。
| 用語 | ポイント |
|---|---|
| ARP | IPアドレスからMACアドレスを調べる正常な仕組み |
| ARPスプーフィング | 偽の対応関係を信じ込ませる攻撃 |
| 中間者攻撃 | 攻撃者が通信の間に入って盗聴・改ざんする攻撃 |
よくある誤解・混同
誤解1:ARPはMACアドレスからIPアドレスを調べる仕組み
ARPは、IPアドレスからMACアドレスを調べる仕組みです。
逆方向、つまりMACアドレスからIPアドレスを調べる仕組みと混同しないようにしましょう。
誤解2:IPアドレスだけでLAN内の通信ができる
IPアドレスは宛先を判断するために重要ですが、LAN内で実際に通信を届けるにはMACアドレスも必要です。
ARPは、そのMACアドレスを調べるために使われます。
誤解3:MACアドレスフィルタリングをすれば安全
MACアドレスフィルタリングは、接続できる機器を制限する補助的な対策です。
ただし、MACアドレスは偽装される可能性があるため、これだけで十分なセキュリティ対策とはいえません。
誤解4:ARPはインターネット全体で相手を探す仕組み
ARPは基本的に同じLAN内で使う仕組みです。
外部のWebサーバに通信するときも、PCがARPで調べるのはWebサーバのMACアドレスではなく、まずはデフォルトゲートウェイのMACアドレスです。
SG試験での判断ポイント
SG試験では、次のように切り分けると判断しやすくなります。
| 問われ方 | 選ぶ考え方 |
|---|---|
| IPアドレスからMACアドレスを取得 | ARP |
| 登録済みのMACアドレスだけ許可 | MACアドレスフィルタリング |
| 偽のARP情報を流す | ARPスプーフィング |
| 通信の途中に攻撃者が入る | 中間者攻撃 |
| IPアドレスを偽る | IPスプーフィング |
特に、ARP=IPからMACという対応関係は、最初に押さえておきたいポイントです。
確認問題
無線LANルータで、あらかじめ登録された機器だけを接続許可したい。接続を要求してきたPCのIPアドレスから対応するMACアドレスを取得し、登録済みのMACアドレスと照合するために使われるプロトコルはどれか。
- ア ARP
- イ DNS
- ウ DHCP
- エ SMTP
回答と解説
正解は、**ア ARP**です。 ARPは、IPアドレスから対応するMACアドレスを取得するためのプロトコルです。 DNSはドメイン名とIPアドレスの対応、DHCPはIPアドレスなどの自動割当て、SMTPはメール送信で使われるプロトコルです。 この問題では、**IPアドレスからMACアドレスを取得する**という表現が決め手になります。まとめ(試験直前用)
ARPは、IPアドレスからMACアドレスを調べるためのプロトコルです。
試験直前には、次の3点で整理しておきましょう。
- IPからMACを調べるならARP
- 登録済みMACだけ許可するならMACアドレスフィルタリング
- 偽のARP情報でだますならARPスプーフィング
ARPは地味な用語ですが、IPアドレス、MACアドレス、無線LAN、なりすまし攻撃の理解につながる重要な基礎です。
細かい通信手順よりも、何を何に対応付ける仕組みなのかを押さえておきましょう。