スプーフィング攻撃

スプーフィング攻撃(英: spoofing attack)は情報セキュリティ、特にネットワーク・セキュリティにおいて、不正なデータを用いることにより、攻撃者や攻撃用プログラムを別の人物やプログラムに見せかける事を利用した攻撃。

なお、動詞spoofはホラ話など真実でない事を冗談として他人に信じ込ませる行為を指し^[1][2]、日本語に訳せばだます、かつぐ、からかう^[3]といった意味になる。

CAPECにはスプーフィング攻撃として以下のものが登録されている（以下のものを更に細分化した下位項目の「spoofing」も登録されているが、説明を省略した）。

• Identity Spoofing（CAPEC-151）：（人間もしくはそれ以外の）何らかの主体になりすまして行う攻撃一般的を指し、具体的にはフィッシングやファーミング、他人になりすましてデータを送りつける攻撃などを指す^[4]。
• Content Spoofing（CAPEC-148）：コンテンツのソースを変えることなく中身を書き換える攻撃。Webページの改竄が典型的だがDNSキャッシュポイズニングなどキャッシュポイズニング系の攻撃も含まれる^[5]。
• Action Spoofing（CAPEC-173）：不正な行為をそれとは別の正当な行為に偽装する攻撃。例えばクリックジャッキングや正当な目的を装ってユーザにパスワードを入力させる事でパスワードを盗むアプリなどがこれに相当する^[6]。
• Resource Location Spoofing（CAPEC-154）：リソースの位置を偽装する攻撃。ユーザにとって必要なライブラリの位置を偽装して偽のライブラリをインストールさせるなどの攻撃^[7]。

それに対し、CWEにはスプーフィングによる認証のバイパス（Authentication Bypass by Spoofing）がCWE-290として登録されており^[8]、具体例としてIPスプーフィングを利用した認証のバイパスが載っている。

関連項目

• ARPスプーフィング
• IPスプーフィング
• DNSスプーフィング

脚注

1. ^ “Cambridge Dictionary「spoof」”. 2016年9月27日閲覧。
2. ^ “「spoof」”. Dictionary.com. 2016年9月27日閲覧。
3. ^ “spoof”. Weblio 「英和辞典」. 2016年9月28日閲覧。
4. ^ “CAPEC-151: Identity Spoofing”. Common Weakness Enumeration. 2016年9月30日閲覧。
5. ^ “CAPEC-148: Content Spoofing”. Common Weakness Enumeration. 2016年9月30日閲覧。
6. ^ “CAPEC-173: Action Spoofing”. Common Weakness Enumeration. 2016年9月30日閲覧。
7. ^ “CAPEC-154: Resource Location Spoofing”. Common Weakness Enumeration. 2016年9月30日閲覧。
8. ^ “CWE-290:Authentication Bypass by Spoofing”. Common Weakness Enumeration. 2016年12月6日閲覧。