パブリックIPアドレスの危険性

2018年11月27日

インターネットサービスプロバイダー(ISP)のほとんどは、パブリックIPアドレスの使用を選択できるようになっています。パブリックIPアドレスは、「グローバルIP」「固定(または静的)IP」「ルーティング可能なIP」「実IP」などと呼ばれることもあります。特定の目的でパブリックIPのオプションを購入する人もいれば、そういうオプションがあるから選択する人もいます。しかし、パブリックIPアドレスは、危険をもたらす可能性があります。この記事では、パブリックIPアドレスとは何か、どんな人が必要とするのか、どのような危険性があるのかを取り上げます。

パブリックIPアドレスは何のためにあるのか?また、一般の人にとってどのような危険があるのか?

IPアドレスとその仕組み

友達にはがきを出そうと思ったら、その人の住所が必要です。住所の書かれていないはがきは配達されません。インターネットもほぼ同じです。メールをチェックするにしろネコの動画を見るにしろ、オンラインで何かするときには、使用するデバイスとホストサーバーとの間でデータをやりとりする必要があります。このやりとりに関係するものは、それぞれアドレス(はがきの場合の住所にあたるもの)を持っていなければなりません。

たとえば、コンピューター上のブラウザーでページを開く場合を考えてみましょう。コンピューターは、あるアドレスに存在するサーバーにコンタクトする必要があります。このサーバーは、連絡してきたコンピューターのアドレスを使って、要求されたページを送り返します。要求と応答はパケットを使って送信されますが、このパケットには、郵便と同じように、送信者と受信者のアドレスが含まれています。このようなアドレスはIPアドレスと呼ばれ、たとえば「92.162.36.203」のようにピリオドで区切られた0〜255の数字4つで表されます。この形式で表現できるアドレスは最大で40億通りほどですから、インターネットに接続されているデバイスの数には遠く及びません。

IPアドレスの再割り当てと維持のために考え出されたのが、NAT(Network Address Translation)です。簡単に言うと、ISPが全契約者を対象とする外部のパブリックIPアドレスを1つ使用し、内部のプライベートIPアドレスを契約者ごとに1つずつ割り当てるシステムです。

このシステムは、オフィスで昔使われていた(または今も使われている)内線電話システムに似ています。社外からの電話はすべて、1つの外線番号にかかってきます。社員の電話には内線番号が割り当てられていますが、社外から内線番号に直接電話をかけることはできません。まず代表番号に電話して、交換手に内線番号へ転送してもらいます。

この交換手の役割を果たすのがNATです。NATは、外部サーバー宛てのパケットを受信すると、まず、送信元デバイスのアドレスを記録し(応答の送信先が分かるようにするため)、デバイスのアドレスをNAT自身のアドレス(全パケットに共通のアドレス)で置き換えてから、パケットを転送します。応答時も同様で、共通アドレス宛に返送された応答パケットを受け取ると、このパケットにISPの内部ネットワークのアドレスを挿入します。こうして、応答パケットは実際の宛先であるデバイスへと送られます。

このNATメカニズムは入れ子にできます。たとえば、家庭用Wi-Fiルーター自体はISPのNATの支配下にありますが、このルーターのプライベートIPアドレスを使って家庭内にローカルネットワークを構築し、ISPのネットワークとの間でやりとりされるパケットを家庭内の各デバイスにリダイレクトすることができます。こうして見ると、パブリックIPアドレスは必要ないように思われます。

確かに、接続がすべて内部ネットワークから開始される限り、NATは十分に機能します。つまり、Webサイトを開き、ファイルをダウンロードし、動画を視聴するのがあなた自身であれば、何も問題ありません。しかし、インターネットからあなたのデバイスに接続するとなると、NATでは対応しきれません。ISPのパブリックIPアドレスに到着したパケットは、まさに行き場がありません。というのは、誰かの内部リクエストに対する応答ではないため、NATは行き先を知らないのです。

そのため、内部ネットワークに外部からアクセスする場合には、パブリックIPアドレスを使う必要があります。会社の電話システムの例えに話を戻すと、代表番号ではなく、直通番号へのダイヤルインに相当します。

パブリックIPアドレスが必要な場合

たとえば、自宅のコンピューターにあるファイルをクラウドに上げるのではなく、職場や友人宅から直接アクセスしたい場合には、パブリックIPアドレスが便利です。

パブリックIPアドレスは、ゲーマーの間でもよく利用されています。マルチプレイヤーゲーム用に自分でサーバーを立てて独自のルールやMOD(ゲームをカスタマイズするための改造データ)やマップをアップし、友人をそこへ招待するために、パブリックIPアドレスを使うのです。また、自宅から離れた場所でXbox、PlayStation、ゲーミングPCなどのリモートデバイスからラップトップにゲームをストリーミングする場合も、パブリックIPアドレスが必要です。

監視カメラなどのセキュリティシステムやスマートホーム製品などの操作にパブリックIPアドレスが必要な場合もありますが、当てはまるのは主に旧式のシステムの場合です。最新のシステムの場合、大半はクラウドベースです。そのため、家庭用デバイスは特定の信頼できるサーバーに登録され、利用者が送信するコマンドはデバイスに直接送られるのではなく、このサーバーに送られます。デバイスは、自分あてのコマンドが来ていないかどうかを確認するために、定期的にサーバーをチェックします。NATはパケットの返送先を常に把握していますから、パブリックIPアドレスは必要ありません。さらに、世界中どこにいても、このサーバーを使って、デバイスから情報を受け取ったり、デバイスを管理したりすることができます。

パブリックIPアドレスの危険性

パブリックIPアドレスの長所は、そのままリスクになります。誰でもどこからでもインターネットを介して直接あなたのデバイスに接続できるということは、サイバー犯罪者もデバイスに接続できるということです。「あなたがインターネットに接続するときはインターネットもあなたに接続しているのだ」という言葉がありますが、パブリックIPアドレスを使うと「直接」接続するのです。サイバー犯罪者がさまざまな脆弱性を悪用して、あなたのファイルを手に入れ、重要な情報を盗み、これを売ったり脅しのネタにしたりする可能性があります。

それだけではありません。攻撃者は、インターネットアクセス設定を変えることもできます。たとえば、ルーターの設定を変えることであなたをフィッシングサイトにアクセスさせ、ログイン認証情報を奪うことが可能です。

では、攻撃者たちはどのようにして標的を見つけるのでしょうか。世の中には、定期的にすべてのIPアドレスをスキャンして脆弱性を探している公開インターネットサービスがあります。そのため、悪用可能なバグを持つ多数のデバイスを、数クリックで探し出すことができます。万一、サイバー犯罪者があなたという個人のIPアドレスを知りたいと考えたとすると、あなたがたとえばSkypeを使う時を狙ってIPアドレスを手に入れることができます。単にどこかのWebサイトにアクセスしただけでも、あなたのIPアドレスは一目瞭然です。

ちなみに、あなたの実際のIPアドレスは、家庭用ネットワークへのハッキングに使えるだけではありません。複数のデバイスからこのIPアドレスに大量のパケットを同時に送り付け、インターネットチャネルやルーターに過重な負荷をかけるDDoS攻撃にも使用できます。ISPはこのような攻撃から保護されていますが…あなたの場合はどうでしょう?この手の攻撃は、ゲーマーやストリーマーに対してよく行われます。たとえば、対戦相手のインターネット接続を妨害して、相手を負けさせようとする場合などです。

自分の身を守るには

保護された状態を保つ一番の方法は、パブリックIPアドレスを使わないことです。特に、自分にパブリックIPアドレスが必要かどうか確信が持てないのであれば、使わないのがよいでしょう。ISPの広告がどれほど説得力満載でも、だまされてはいけません。

しかし、パブリックIPアドレスが明らかに必要な場合には、保護を強化する必要があります。手始めに、ルーターのパスワードが初期設定のままならば、別のパスワードに変更してください。特定の機種に存在する脆弱性を狙い撃ちするような攻撃者から身を守れるわけではありませんが、スキルの高くない攻撃者には有効です。また、ハッカーに悪用されやすいバグができるだけ少ない機種を使用するのも一案です。その場合は、自力での調査が必要です。最新情報をネットで根気よく探してみてください。

ルーターのファームウェアは、定期的に更新してください。一般的に、ファームウェアの更新は、過去のバージョンで発見された不具合を修正してくれます。また、言うまでもありませんが、ルーターに内蔵の保護機能はすべて有効化しましょう。SOHO向けルーターに搭載の機能では、最高に効果的とまではいかないかもしれませんが、何もないよりはましです。

このほか、インターネットを見て回る際にパブリックIPアドレスが見えないように、VPNを使用することをお勧めします。VPNが有効になっていると、パブリックIPアドレスの代わりにVPNサーバーのアドレスが表示されます。

最後になりますが、コンピューターやモバイルデバイスにはセキュリティ製品をインストールしましょう。マルウェアを検知するだけではなく、マルウェア以外の攻撃(悪意あるサイトへのリダイレクトや悪質広告の表示など)からも保護してくれます。なお、悪意あるWebサイトへのリダイレクトや悪質広告の表示は、ルーターがハッキングされた場合に発生する可能性の高い攻撃です。