【ESET】ARPキャッシュポイズニング攻撃警告の誤検知?

ESETから「ネットワークの脅威がブロックされました - ARPキャッシュポイズニング攻撃」との通知が。

調べても色々わかりにくいことが多かったので、同様の通知を受けた方への情報共有としてまとめます。しかしポイズニング攻撃とはなんとも毒々しい・・・。

ARPキャッシュポイズニング攻撃とは?

公式サイトからの引用は以下の通り。

ARPキャッシュポイズニング攻撃は、ネットワークに接続されているデバイスに不正な情報を送信する攻撃です。これにより、任意のIPアドレスと任意のMACアドレスを関連付け、様々な攻撃手段でのネットワーク攻撃機能を得ることになります。

引用元:ESET サポートページ

これだけで理解できる人は以下スルーしてください。

ARPとは?

ARP(Address Resolution Protocol)とは「IPアドレスからMACアドレスを調べる仕組み」を指します。

家庭内や社内などのプライベートなネットワークにおいて、通信機器同士が相互に通信を行うためには、IPアドレス(ネットワーク内で割り振られる番号)に加えてMACアドレス(ネットワーク機器そのものに原則この世で一意に割り当てられるアドレス)が必要となるため、ARPという仕組みを用いて「IPアドレスとMACアドレスの対応表」がネットワーク上に作られます。

ですので「ARP」自体は、PCに詳しい or ネットワークに詳しいといった方でなければ通常馴染みのない「ネットワークの裏側の仕組み」になります。

「IPアドレスとMACアドレスの対応表」のことをARPキャッシュと呼んでいます。また、ARPは「エーアールピー」ではなく「アープ」と呼ばれるのが一般的です。

キャッシュポイズニングとは?

「ポイズニング(poisoning)」の単語そもそもの意味としては"中毒"を指します。

ただし、ARPキャッシュに対するポイズニングとは、ARPキャッシュを不正に改ざんしようとする試みを意味するため、"中毒”というよりは"毒を挿し込む" or "汚染する"というイメージで捉えるほうが適切だと思われます。

ARPキャッシュが汚染された結果、通常第三者が介入不要な通信にあえて攻撃者の端末を経由して通信させることによる通信傍受の危険に晒される可能性があります。

サイトログインやネット決済等、傍受される情報によっては重大な被害につながりかねません。

危険な攻撃であることには間違いないので、当記事に辿り着いたように危機感を感じたらすぐにWebで調べるセキュリティ意識は非常に大切です。

警告メッセージへの対処方法

警告対象のIPアドレス確認方法

Windows10を利用されている方は画面右下に突如出現した上記画面を見て、Webで調べるに至ったはずです。

画面下部の「このメッセージの詳細を見る」を押すと、ESETのサポートページへ飛びます。サポートページに飛べば何かわかるだろうと期待するところなのですが、私も初見で「?」になりました。理由は以下の説明にあります。

検出されたIPアドレスがルーターの場合は、以下の手順に従いファイアウォール(パーソナルファイアウォール)の設定を変更してください。インターネット回線とコンピューターとの間にルーター等の機器がある環境では、インターネットへ直接接続する場合に比べて攻撃を受ける可能性は少ないため、以下の設定をおこなっても危険性は低いと言えます。

引用元:ESET サポートページ

検出されたIPアドレス」とありますが、それらしき数字の羅列は表示されていないので非常に焦ります。画面右下に表示された段階で「この脅威の処理を変更」というリンクを表示しないとIPアドレスが確認できません。

検出されたIPアドレスがルーターの場合」についてはサポートページ上で対処方法の説明がありますが、そもそも検出されたIPアドレスがルーターなのかを確認する手立てが書いていないので、あまり優しくないです。

ルーターのIPアドレス確認方法

キーボードより[Windowsキー]と[Rキー]を同時に押し「ファイル名を指定して実行」を起動します。起動したら"cmd"と入力し、OKボタンを押してください。※Windowsキーはキーボード左下にあるWindowsアイコンのキーです。

コマンド画面が表示されたら、以下の様に"ipconfig"と入力し[Enterキー」を押します。

「デフォルトゲートウェイ」と記載された箇所に表示されているIPアドレスがルーターのIPアドレスになります。

誤検知:警告対象がルーターのIPアドレスの場合

警告対象がルーターのIPアドレスの場合はESETのサポートページにて対処方法が記載されていますので参照ください。

誤検知:警告対象がルーターのIPアドレスではない場合

警告対象がルーターのIPアドレスではない場合もあるようです。私も実際、同一ネットワーク内の別PCに割り当てられたIPアドレスが警告対象となっていました。

同一ネットワーク内のどの機器であるかは、ESETに搭載されたホームネットワーク保護機能より探し当てる方法が視覚的でわかりやすいのでオススメです。

私が体験したところでは、別PC(寿命間近のPC)がネットワーク不調でネットワークが途切れてはすぐに再接続されるという状態が続いており、ネットワーク再接続に伴い新しく割り振られたIPアドレスがARPキャッシュに保管されていた情報と競合した疑いが強そうです。

ネットワークが再接続されるタイミングでESETの警告が表示されることが続いたので勘所がありましたが、さもなければ相当に焦っていたと思います。

別PC等、100%身に覚えのある機器であれば、ルーターのIPアドレスの場合同様に、ESETのサポートページに記載されている対処方法で良いのではと考えられます。

当サイトで使用しているWPテーマ

<初心者でも簡単に利用することが可能な高品質高機能ワードプレステーマ>

品質・機能共に非常にハイスペックなWordPressテーマでありながら、HTMLやCSSといった知識が無くとも画面操作のみで美しいデザインのブログを簡単に構築することが可能となっています。カスタマイズ性に富んでいる為、同じテーマを使っているサイトと似たようなデザインにもなりにくく、オリジナリティ溢れるサイトデザインを作り上げる事が出来ます。

デザインのみならず、Googleの規約に準拠したSEO対策、無期限・無制限で利用可能なメールサポート、継続的な機能追加(バージョンアップ)等々、サイト構築・運営にひとしきり必要なサポートが非常に手厚いのも特徴です。

また、Diver開発にはアフィリエイトプログラムの開発に携わっていた技術者が思考をこらした工夫が盛り込まれており、収益化を目指すブログに最適なテーマとなっています。更に一度購入すれば自身が所有する複数サイトに追加料金なしで適用できるというお値打ち仕様も魅力の一つとなっています。

Twitterでフォローしよう

おすすめの記事