読み方 : ブイランホッピング
VLANホッピング【VLAN hopping】
概要
VLANとは、物理的なネットワーク機器の配線を変えることなく、ネットワークスイッチの設定によってネットワークを論理的に分割する技術である。異なるVLANに所属する機器同士は直接通信することができず、情報漏洩などのリスクを低減させることができる。VLANホッピングはこの分離の仕組みを破る攻撃であり、攻撃者が所属するVLAN以外のVLANのトラフィックを盗み見たり、通信に介入したりすることを可能にする。
代表的な手法として「スイッチスプーフィング」と「ダブルタギング」の2種類がある。「スイッチスプーフィング」(switch spoofing)は、攻撃者が自分の端末をネットワークスイッチのように見せかけ、トランクポートとしての接続を確立することで複数のVLANのトラフィックを受信できる状態を作り出す手法である。トランクポートとは複数のVLANの通信をまとめて流すための接続方式であり、本来はスイッチ間の接続に用いるものである。
一方、「ダブルタギング」(double tagging)は、イーサネットフレームにVLANを識別するタグを二重に付加することで、標的とする別のVLANにフレームを到達させる手法である。最初のスイッチが外側のタグを取り除いた後、内側のタグに従って別のVLANへフレームが転送されるネットワーク機器の動作を悪用する。この手法は攻撃者と同じVLANタグをネイティブVLANとして設定しているスイッチに対して特に有効とされる。
共有ボタンをタップ