ダブルタギング (ダブルタギング) とは | 意味や読み方など丁寧でわかりやすい用語解説

ダブルタギング (ダブルタギング) の読み方

日本語表記

二重タグ付け (ニジュウタグヅケ)

英語表記

double tagging (ダブルタギング)

ダブルタギング (ダブルタギング) の意味や用語解説

ダブルタギングとは、ネットワークにおいて、本来付与されるべきVLANタグ（Virtual LAN Tag）に加えて、意図的に別のVLANタグを付与する攻撃手法のことである。二重にタグを付与することから、ダブルタギングと呼ばれる。システムエンジニアを目指す上で、この攻撃手法の仕組みと対策を理解することは非常に重要である。 まず、VLANとは、物理的に異なるネットワークセグメントを、論理的に分割して同一のネットワークとして扱う技術である。VLANを使用することで、ブロードキャストトラフィックの範囲を制限したり、セキュリティポリシーを適用したりすることが容易になる。VLANは、VLAN IDと呼ばれる識別子によって区別され、VLANタグにはこのVLAN IDが格納される。 通常のネットワーク環境では、スイッチがフレームを受信すると、そのフレームに所属VLANのタグを付与し、同じVLANに所属するポートにのみ転送する。しかし、ダブルタギング攻撃では、攻撃者は、自身が所属するVLAN（ネイティブVLAN）のタグと、攻撃対象のVLANのタグを二重に付与したフレームを送信する。 攻撃の流れを具体的に説明する。攻撃者はまず、ネイティブVLANに所属するホストから、宛先MACアドレスを攻撃対象ホスト、VLANタグを2つ付与したフレームを送信する。1つ目のタグはネイティブVLANのタグ、2つ目のタグは攻撃対象VLANのタグである。このフレームは、まず、攻撃者が接続しているスイッチに到達する。 スイッチは、1つ目のネイティブVLANタグを認識し、そのフレームをネイティブVLANに転送する。ここで重要なのは、多くのスイッチがネイティブVLANのタグを剥がして転送する点である。これは、ネイティブVLANがタグなし（Untagged）で通信を行うことを前提としているためである。 タグが剥がされたフレームは、攻撃対象VLANのタグが付与された状態で、ネットワーク内を転送される。次に、このフレームが攻撃対象VLANに接続されたスイッチに到達する。このスイッチは、フレームに付与された攻撃対象VLANのタグを認識し、そのVLANに所属するポートにフレームを転送する。 最終的に、フレームは攻撃対象ホストに到達する。攻撃対象ホストは、このフレームを同一VLANからの正当なフレームとして処理してしまう。このようにして、攻撃者は、本来アクセスできないはずのVLANに侵入し、データの盗聴や改ざんなどの攻撃を行うことができる。 ダブルタギング攻撃への対策としては、いくつかの方法が考えられる。 1つ目は、スイッチのポートセキュリティ機能を強化することである。具体的には、ポートに許可されたMACアドレス以外のフレームを遮断したり、VLAN IDを固定したりする設定を行う。これにより、攻撃者が不正なフレームを送信しても、スイッチがそれを検知して遮断することができる。 2つ目は、ネイティブVLANの扱いを見直すことである。ネイティブVLANをデフォルト設定から変更し、未使用のVLAN IDを使用したり、ネイティブVLANに対するタグなしフレームの転送を禁止したりする。これにより、攻撃者がネイティブVLANを悪用することを困難にする。 3つ目は、VLANアクセスリスト（VACL）を使用することである。VACLは、VLAN間のトラフィックを制御する機能であり、特定のVLANからのトラフィックを遮断したり、特定のプロトコルやポート番号のトラフィックを制限したりすることができる。VACLを使用することで、ダブルタギング攻撃による不正なトラフィックを検知し、遮断することができる。 4つ目は、ネットワーク監視システムを導入し、不審なトラフィックを監視することである。ネットワーク監視システムは、ネットワーク上のトラフィックをリアルタイムで監視し、異常なパターンや不正なアクティビティを検知する。これにより、ダブルタギング攻撃を含む様々な脅威を早期に発見し、対応することができる。 ダブルタギング攻撃は、ネットワーク構成の脆弱性を悪用する巧妙な攻撃手法である。システムエンジニアは、この攻撃の仕組みを理解し、適切な対策を講じることで、ネットワークのセキュリティを確保する必要がある。