ARP スプーフィングは 2026 年でも依然として本当の脅威ですか?

オープンネットワーク (コーヒーショップ、ホテル) では、はい。 DAI と DHCP スヌーピングを備えた企業ネットワークでは、ほとんどの場合、ありません。 HTTPS の普及により、影響は大幅に軽減されます。トラフィックの途中にいる攻撃者は依然としてトラフィックを復号化できません。 VPN はローカル ARP 攻撃を本質的に無力にします。

ARPを無効にできますか?

イーサネット/Wi-Fi ではなく、IPv4 は基本的にそれに依存しています。信頼できる IP (ルーター、サーバー) の静的 ARP エントリを固定することができ、これによりキャッシュが安定します。 ARP の代わりに NDP を使用する IPv6 を使用することもできます。

ARP テーブルに毎回異なるデバイスが表示されるのはなぜですか?

エントリは、非アクティブ状態が数分間続くと期限切れになります。再アーピングは、デバイスと再度通信すると発生します。リストは、アクティブな使用中に増加し、アイドル期間中に縮小します。これは正常です。

ネットワーク外の攻撃者が私を ARP スプーフィングする可能性はありますか?

いいえ、ARP は単一のローカルセグメント内でのみ動作します。ブロードキャストはルーターを越えません。あなたを ARP スプーフィングするには、攻撃者があなたと同じ物理ネットワークまたは無線ネットワーク上にいる必要があります。だからこそ、敵対的な Wi-Fi と共有 LAN が重要なのです。リモートのインターネット攻撃者はあなたを ARP できません。

ARP監視ツールは家庭に必要ですか?

おそらくそうではありません。ホームネットワークにはデバイスがほとんどなく、動作が予測可能です。 ARP 監視は、新しい MAC アドレスの出現がセキュリティ信号であるオフィス環境や共有環境でより適切です。ほとんどのホームユーザーにとって、信頼できないパブリックネットワーク上の VPN がより現実的な防御手段となります。

ARP の説明: ローカルネットワーク上でデバイスがお互いを見つける方法

Q: ARP スプーフィングは 2026 年でも依然として本当の脅威ですか?

オープン ネットワーク (コーヒー ショップ、ホテル) では、はい。 DAI と DHCP スヌーピングを備えた企業ネットワークでは、ほとんどの場合、ありません。 HTTPS の普及により、影響は大幅に軽減されます。トラフィックの途中にいる攻撃者は依然としてトラフィックを復号化できません。 VPN はローカル ARP 攻撃を本質的に無力にします。

Q: ネットワーク外の攻撃者が私を ARP スプーフィングする可能性はありますか?

いいえ、ARP は単一のローカル セグメント内でのみ動作します。ブロードキャストはルーターを越えません。あなたを ARP スプーフィングするには、攻撃者があなたと同じ物理ネットワークまたは無線ネットワーク上にいる必要があります。だからこそ、敵対的な Wi-Fi と共有 LAN が重要なのです。リモートのインターネット攻撃者はあなたを ARP できません。

Q: ARP監視ツールは家庭に必要ですか?

おそらくそうではありません。ホーム ネットワークにはデバイスがほとんどなく、動作が予測可能です。 ARP 監視は、新しい MAC アドレスの出現がセキュリティ信号であるオフィス環境や共有環境でより適切です。ほとんどのホーム ユーザーにとって、信頼できないパブリック ネットワーク上の VPN がより現実的な防御手段となります。

ラップトップがルーターにパケットを送信する場合、ルーターの IP だけでは十分ではありません。イーサネットには MAC アドレスが必要です。アドレス解決プロトコルはそのギャップを埋め、「この IP を誰が持っているか?」を尋ねます。そしてMACを取り戻します。 IPv4 には 1982 年から使用されており、認証がないため、無数のローカルネットワーク攻撃の基盤となっています。

記事全文は以下に英語で記載されています。

ARP (アドレス解決プロトコル)、RFC 826 は、IPv4 アドレスをローカルネットワーク上の MAC アドレスにマッピングするプロトコルです。デバイスがこれまで通信したことのない IP にパケットを送信する必要があるたびに、ARP が最初に実行されます。マッピングは一時的にキャッシュされ、期限切れになり、再度要求されます。

基本的な交換

ラップトップの IP は 192.168.1.10 で、192.168.1.1 (ルーター) に送信したいと考えています:

ARP リクエスト: ラップトップは「誰が持っているか」をブロードキャストします。 192.168.1.1? LAN 上のすべてのデバイスに 192.168.1.10 を伝えます (MAC ブロードキャスト FF:FF:FF:FF:FF:FF)。
ARP 応答: ルーターはラップトップに直接応答します:「192.168.1.1 は次のとおりです」 AA:BB:CC:DD:EE:FF."
Cache: 両側は、IP-MAC マッピングを ARP キャッシュに数分間保存します。
Send: ラップトップは、イーサネットフレームにラップされた IP パケットをルータのアドレスに送信します。 MAC.

同じ IP への後続のパケットには、キャッシュされたエントリが使用されます。繰り返しの ARP 交換は必要ありません。

ARP キャッシュの内容

Linux の場合: は に隣接します。 macOS の場合:arp -a。 Windows の場合:arp -a。出力には、既知の各 IP、その MAC、およびキャッシュ状態が表示されます。エントリは (通常、非アクティブ状態が数分間続くと) 期限切れになり、必要に応じて更新されます。特殊な場合には、静的 ARP エントリを手動で追加することもできます。

ARP スプーフィング

ARP には認証がありません。要求されていない応答であっても、あらゆる応答が受け入れられます。 ARP スプーフィング (または「ARP ポイズニング」) はこれを悪用します。

同じ LAN 上の攻撃者が、「192.168.1.1 (ルータ) は私の MAC にあります」とアナウンスする一方的な「無償 ARP」を送信します。
他のすべてのデバイスが ARP キャッシュを更新し、送信を開始します。
攻撃者は現在、LAN から出るすべてのフローの真ん中にいます。典型的な中間者ポジションです。
攻撃者は、被害者が中断に気づかないように、トラフィックを実際のルーターに転送します。

これは以前は壊滅的なものでした。現在、HTTPS はほとんどのトラフィックのコンテンツを攻撃者から保護していますが、メタデータ (どのサイトにいつアクセスしたか) に加え、プレーンテキストプロトコル (DNS、プレーン HTTP、一部の従来の SMTP、IoT デバイス API) も引き続き読み取ることができます。同じ MACX へのマッピングPLZ62X

ルーターの MAC が突然変化する

パケットキャプチャに表示される異常な Gratuitous ARP トラフィック

arpwatch などのツールは、変更とアラートを監視します。ほとんどのホームネットワークには監視機能がありません。家庭用 Wi-Fi での ARP スプーフィングは、無期限に検出されなくなる可能性があります。

ARP 攻撃に対する防御

マネージドスイッチ上のダイナミック ARP インスペクション (DAI) - 信頼された IP-MAC バインディング (通常は DHCP スヌーピングから) に一致しない ARP パケットをドロップします。
重要な IP (ルーター、キーサーバー) の静的 ARP エントリ — マッピングをロックして、なりすましの応答が無視されるようにします。操作的には不格好です。主にセキュリティが重要なセットアップで使用されます。
ネットワークセグメンテーション - ユーザーを異なる VLAN に維持することで、ARP 攻撃の爆発範囲が 1 つの VLAN に制限されます。
LAN から逃れるための VPN - 暗号化されたトンネルに入ると、LAN は ARP スプーフィングしてそこから抜け出すことができません。敵対的なネットワーク (ホテルの Wi-Fi、会議) で役立ちます。

ARP と IPv6: 近隣探索

IPv6 は ARP を使用しません。これに相当するのは、RFC 4861 で定義されている Neighbor Discovery Protocol (NDP) です。これは、別のプロトコルの代わりに ICMPv6 メッセージを使用し、「誰がこの IPv6 アドレスを持っているか?」という同じ機能を提供します。

NDP には ARP と同じ認証の問題があり、どの応答も受け入れられます。軽減策には、SEND (Secure Neighbor Discovery、RFC 3971、まれに導入される) およびスイッチ上の RA ガード/DHCPv6 ガードが含まれます。

ARP がネットワークについて教えてくれるもの

ネットワーク使用後の ARP キャッシュは、基本的に、ローカルセグメント上で最近通信したすべてのデバイスのリストです。企業ネットワークでは、これにはプリンタ、ファイルサーバー、ゲートウェイ、場合によっては数台の同僚のラップトップが含まれます。自宅の Wi-Fi、デバイス、ルーター上で。情報はローカルであり、LAN の外に表示されることはありませんが、周囲にあるものを理解するのに役立ちます。

よくある質問

ARP スプーフィングは 2026 年でも依然として本当の脅威ですか?: オープンネットワーク (コーヒーショップ、ホテル) では、はい。 DAI と DHCP スヌーピングを備えた企業ネットワークでは、ほとんどの場合、ありません。 HTTPS の普及により、影響は大幅に軽減されます。トラフィックの途中にいる攻撃者は依然としてトラフィックを復号化できません。 VPN はローカル ARP 攻撃を本質的に無力にします。
ARPを無効にできますか?: イーサネット/Wi-Fi ではなく、IPv4 は基本的にそれに依存しています。信頼できる IP (ルーター、サーバー) の静的 ARP エントリを固定することができ、これによりキャッシュが安定します。 ARP の代わりに NDP を使用する IPv6 を使用することもできます。
ARP テーブルに毎回異なるデバイスが表示されるのはなぜですか?: エントリは、非アクティブ状態が数分間続くと期限切れになります。再アーピングは、デバイスと再度通信すると発生します。リストは、アクティブな使用中に増加し、アイドル期間中に縮小します。これは正常です。
ネットワーク外の攻撃者が私を ARP スプーフィングする可能性はありますか?: いいえ、ARP は単一のローカルセグメント内でのみ動作します。ブロードキャストはルーターを越えません。あなたを ARP スプーフィングするには、攻撃者があなたと同じ物理ネットワークまたは無線ネットワーク上にいる必要があります。だからこそ、敵対的な Wi-Fi と共有 LAN が重要なのです。リモートのインターネット攻撃者はあなたを ARP できません。
ARP監視ツールは家庭に必要ですか?: おそらくそうではありません。ホームネットワークにはデバイスがほとんどなく、動作が予測可能です。 ARP 監視は、新しい MAC アドレスの出現がセキュリティ信号であるオフィス環境や共有環境でより適切です。ほとんどのホームユーザーにとって、信頼できないパブリックネットワーク上の VPN がより現実的な防御手段となります。