「130.54.120.215からの侵入を検知し、阻止しました」。こんなメッセージをファイアウオールや侵入検知システム（IDSやIPS）が表示したら、皆さんはどうしますか？ まずは「130.54.120.215って何者？」と思って、DNSを調べてみるでしょう。そうすれば「www.kyoto-u.ac.jp」だと分かります。「京都大学のWebサーバーが乗っ取られてるんだろうか？いったいどんな管理してるんだ？」と憤慨されるかもしれません。もしかすると、苦情メールを書いてしまう方もいることでしょう。

IPアドレスを詐称できる？

　手順上は正しい相手と通信しようとしますが、大きな“穴”はぽっかりと開いています。実は、パケット送信時に名乗るIPアドレスを簡単に詐称することができるのです。皆さんはご存知でしたか？ つまり、任意のIPアドレスを騙ってパケットを送信できるのです。多くのISPや組織では、IPアドレスを詐称したパケットを外に出さないようにingressと呼ぶフィルターを設定していますが、そうでない組織も世界中にたくさんあります。

　そのような組織のパソコンを乗っ取れば、IPアドレスを詐称したパケットを送信できます。そのようなSYNパケット、UDPやICMPパケットが皆さんの所に届いてしまえば、セキュリティシステムはこのパケットを「侵入」と判断して冒頭のメッセージを表示します。あなたの使用しているIPアドレスを詐称されると、(2)のSYN+ACKパケット、もしくは「到達不能」ICMPパケット、その他の通信拒否パケットが届くことで、同じようなメッセージが表示されることもあります。

　IPアドレスを盗まれない対策をしてないだけじゃないの？ と思われるかもしれません。しかし残念ながら、IPアドレスの詐称に対抗する策はありません。IPアドレス詐称の可能性を確認できればよいのですが、それも難しいのです。

　本当の攻撃かどうか疑わしい場合、「攻撃元」に問い合わせるかを判断するのは悩ましいものです。もし問い合わせる場合は「IPアドレス詐称の可能性もあるかとは思いますが……」といった控えめな文面だと、聞かれた側も答えやすくなります。