最終更新日:2026年5月20日
sg security_measures unauthorized_access network threat_vulnerability firewall sg-security-measures
まず結論
IPスプーフィングとは、IPパケットの送信元IPアドレスを偽装する攻撃です。
SG試験では、単に「送信元を偽る攻撃」と覚えるだけでなく、
- どのIPアドレスを見ればよいか
- ファイアウォールで何を遮断すればよいか
- 盗聴やDNS攻撃とどう違うか
を切り分けられることが大切です。
特に、ファイアウォールの問題では、
外部から入ってきたパケットなのに、送信元IPアドレスが自ネットワークのものなら破棄する
という考え方が重要です。
直感的な説明
IPアドレスは、通信における「住所」のようなものです。
IPスプーフィングは、
差出人の住所を偽って手紙を送る
ような攻撃です。
本当は外部の攻撃者から送られているのに、
- 社内ネットワークの端末から来たように見せる
- 信頼できるサーバから来たように見せる
- 攻撃元を分かりにくくする
といった目的で使われます。
つまり、見るべきポイントは通信内容ではなく、送信元IPアドレスです。
定義・仕組み
IPスプーフィングは、IPヘッダーに含まれる送信元IPアドレスを、本来とは異なるIPアドレスに書き換えて送信する攻撃です。
攻撃の流れ
- 攻撃者がIPパケットを作る
- 送信元IPアドレスを偽装する
- サーバやネットワーク機器へ送信する
- 受け取った側が、正規の相手からの通信と誤認する
何のために使われる?
IPスプーフィングは、単独で使われるだけでなく、他の攻撃と組み合わせて使われることがあります。
代表例は次のとおりです。
- 攻撃者の身元を隠す
- 応答パケットを攻撃対象へ送らせる
- DoS攻撃やDDoS攻撃を成功させやすくする
- IPアドレスによるアクセス制限を回避する
- ポートスキャンなどの攻撃と組み合わせる
SG試験では、
送信元IPアドレスを偽る攻撃
と判断できれば十分です。
どんな場面で使う?
攻撃されやすい場面
IPスプーフィングが問題になりやすいのは、IPアドレスだけを信頼している場面です。
例えば、
- 特定のIPアドレスからの通信だけを許可している
- 社内ネットワークからの通信を無条件に信頼している
- IPアドレスだけで本人確認をしている
ような場合です。
IPアドレスは通信経路上の重要な情報ですが、本人確認そのものではありません。
ファイアウォールでの対策
ファイアウォールでIPスプーフィング対策をする場合は、外部から入ってくるパケットの送信元IPアドレスを確認します。
外部から来たはずなのに、送信元IPアドレスが自ネットワークのIPアドレスになっている場合、これは不自然です。
そのため、
外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば破棄する
という対策を行います。
試験での判断ポイント
| 見る場所 | 判断 |
|---|---|
| 送信元IPアドレス | 偽装されていないかを見る |
| あて先IPアドレス | 通信の送信先を見る |
| TCP/UDPのポート番号 | サービスの種類を見る |
| 通信内容 | 盗聴・改ざんなどの話で見る |
IPスプーフィング対策では、まず送信元IPアドレスに注目します。
よくある誤解・混同
❌ 誤解①:あて先IPアドレスを見ればよい
⭕ 正しくは、送信元IPアドレスを見ます。
IPスプーフィングは「誰から来たか」を偽る攻撃です。
そのため、ファイアウォールで見るべきなのは、
外部から入ってくるパケットの送信元IPアドレス
です。
❌ 誤解②:TCPだけの問題である
⭕ 正しくは、IPレベルの送信元偽装です。
TCPやUDPの前に、IPパケットのヘッダーに送信元IPアドレスがあります。
そのため、TCP接続だけでなく、DoS攻撃などでも使われることがあります。
❌ 誤解③:通信内容を盗む攻撃である
⭕ 正しくは、送信元を偽る攻撃です。
通信内容を盗み見る攻撃は、盗聴や中間者攻撃の文脈で考えます。
IPスプーフィングは、
内容を見る攻撃ではなく、送信元を偽る攻撃
と切り分けましょう。
❌ 誤解④:DNSをだます攻撃である
⭕ 正しくは、IPパケットの送信元IPアドレスを偽装する攻撃です。
DNSの偽装や汚染は、名前解決に関する攻撃です。
IPスプーフィングは、IPパケットそのものの送信元情報を偽ります。
確認問題(SG試験対策)
ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング攻撃の対策として最も適切なものはどれか。
- ア. 外部から入るTCPコネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を破棄する。
- イ. 外部から入るUDPパケットのうち、外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
- ウ. 外部から入るパケットのあて先IPアドレスが、インターネットと直接通信すべきでない自ネットワークのホストのものであれば、そのパケットを破棄する。
- エ. 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを破棄する。
▶ クリックして答えと解説を見る(ここを開く)
正解:エ
解説
IPスプーフィングは、送信元IPアドレスを偽装する攻撃です。
外部から入ってきたパケットなのに、送信元IPアドレスが自ネットワークのものになっている場合、通常は不自然です。
そのため、ファイアウォールではそのようなパケットを破棄します。
選択肢の切り分け
- ア:TCPの接続要求を制限する対策です。IPスプーフィング対策の本質ではありません。
- イ:UDPパケットを制限する対策です。サービス制限の話です。
- ウ:あて先IPアドレスを見ています。IPスプーフィング対策では、あて先ではなく送信元を見ます。
- エ:送信元IPアドレスが自ネットワークのものかを見ています。これがIPスプーフィング対策です。
判断ポイント
IPスプーフィング対策は、
外部から来たのに、送信元が内部IPになっていないか
を見る問題です。
👉 判断ポイント
この問題は、用語の定義ではなく「目的と適用場面」で切り分けます。
まとめ(試験直前用)
- IPスプーフィング=送信元IPアドレスの偽装
- 対策では、外部から入るパケットの送信元IPを見る
- 外部から来たのに送信元が内部IPなら不自然
- あて先IPではなく、送信元IPが判断ポイント
- IPアドレスだけを認証に使うのは危険