Torネットワークを標的にしたIPスプーフィング攻撃が発生：セキュリティニュースアラート

Torネットワークが2024年10月下旬からIPスプーフィング攻撃を受けた。Torディレクトリ管理者に対しホスティングプロバイダーから不正ポートスキャンの苦情が届いたことにより判明したとしている。

[後藤大地，有限会社オングス]

　非営利団体Tor Projectは2024年11月8日（現地時間、以下同）、Webブラウザ「Tor」のネットワークがIPスプーフィング攻撃を受けていたことを発表した。

　IPスプーフィング攻撃とは別のコンピュータシステムになりすますために、送信元のIPアドレスを偽装して通信を実行する攻撃だ。これによって身元を隠したままでマルウェアを使った攻撃やDoS攻撃などを実行できる。

　この攻撃は2024年10月下旬に始まったとされ、Torネットワークのディレクトリ管理者やリレーオペレーターに対し、インターネットプロバイダーからポートスキャンに関する不正使用の苦情が複数寄せられたことによって発覚した。

Torネットワークを狙ったIPスプーフィング攻撃の詳細とその影響

　サイバー攻撃は2024年10月20日にTorディレクトリ管理者に対しホスティングプロバイダーから不正ポートスキャンの苦情が届いたことにより判明した。攻撃者は偽装したSYNパケットを利用し、TorリレーのIPアドレスがスキャンの発信源であるように見せかけていた。攻撃の目的はTorネットワークの混乱を招き、同ネットワークに関連するIPを不正利用としてブロックリストに追加させる狙いがあったとみられている。

　Torプロジェクトの迅速な対応によってなりすましパケットの発信元が特定され、2024年11月7日に無力化された。攻撃によって幾つかのリレーが一時的にオフラインとなったが、Torネットワークへの影響は限定的で、一般のTorユーザーへの直接的な影響はなかったと報告されている。ただし、リレーオペレーターは再設定や不正使用の苦情対応など、運営上の負担が大きかったとしている。またどのオンラインサービスにおいてもIPスプーフィング攻撃を受ける可能性があることも指摘されている。

　Torプロジェクトはリレーオペレーターとともにプロバイダーとの連携を強化し、ブロックリストからIPアドレスの削除やリレーオペレーターのアクセス復旧を進めている。ホスティングプロバイダーに対してはTorがスプーフィング攻撃の標的であることを説明し、誤認による苦情処理の迅速化を図っている。