LAND攻撃(ランドこうげき)とは | 意味や読み方など丁寧でわかりやすい用語解説

LAND攻撃とは、ネットワーク上で特定の脆弱性を悪用し、標的のシステムを停止させたり、処理能力を麻痺させたりするDoS（Denial of Service：サービス拒否）攻撃の一種である。攻撃者は、被害者となるコンピュータやネットワーク機器に対して、送信元IPアドレスと宛先IPアドレスを被害者自身のIPアドレスに設定した、特殊な細工を施したパケットを送りつける。この異常なパケットを受け取ったシステムは、自己参照の無限ループに陥り、リソースを大量に消費して正常なサービス提供が不可能になる状態を引き起こす。

LAND攻撃の具体的なメカニズムを理解するためには、まずTCP/IPプロトコルに基づいた基本的なネットワーク通信の流れを知る必要がある。インターネットを含む今日のネットワーク通信のほとんどは、TCP/IPプロトコルファミリーの上で成り立っている。データはIPパケットと呼ばれる単位で送受信され、IPパケットのヘッダには、データを送信した機器のIPアドレスを示す「送信元IPアドレス」と、データを受け取るべき機器のIPアドレスを示す「宛先IPアドレス」が必ず記述される。さらに、TCP通信では、アプリケーション間でデータをやり取りするための識別子として「ポート番号」が利用され、TCPヘッダには「送信元ポート番号」と「宛先ポート番号」が記述される。通常の通信では、例えばコンピュータAがコンピュータBにWebサイトのデータを要求する場合、送信元IPアドレスはAのIPアドレス、宛先IPアドレスはBのIPアドレスとなり、送信元ポートはAが一時的に使用するポート、宛先ポートはBのWebサーバーが待ち受けるポート（通常80番や443番）となる。

LAND攻撃では、このIPパケットの構造が悪用される。攻撃者は、被害者のIPアドレスを特定し、そのIPアドレスを送信元IPアドレスと宛先IPアドレスの両方に設定したTCPのSYNパケット（接続要求パケット）を作成する。さらに、多くの場合、送信元ポート番号と宛先ポート番号も、被害者自身の特定のポート番号、あるいは同じポート番号に設定される。このようなパケットは、IPスプーフィング（IPアドレス偽装）という技術を用いて生成される。

この改ざんされたパケットが被害者のシステムに到達すると、システムはパケットの宛先IPアドレスが自分自身のものであると認識する。同時に、パケットの送信元IPアドレスも自分自身のものであるため、システム内部では「自分自身から自分自身への通信要求」という、通常の通信では発生し得ない、極めて異常な状態が発生する。システムは、この自己参照のパケットに対して何らかの応答を生成しようとするが、その応答の宛先もまた自分自身となる。

例えば、TCP通信の確立プロセスであるスリーウェイハンドシェイクを考えてみる。通常のTCP接続では、以下の3ステップが実行される。

1. クライアントがサーバーにSYNパケットを送信する（接続要求）。
2. サーバーがクライアントにSYN-ACKパケットを送信する（接続許可と応答確認）。
3. クライアントがサーバーにACKパケットを送信する（応答確認）。 この3ステップが完了すると、TCP接続が確立する。 LAND攻撃では、被害者自身が送信元IPアドレスと宛先IPアドレスの両方に設定されたSYNパケットを受け取る。被害者のシステムは、自身に接続要求が来たものと解釈し、SYN-ACKパケットを生成する。しかし、このSYN-ACKパケットの宛先もまた自分自身であるため、システムは自分自身にSYN-ACKパケットを送信し続けることになる。この自己参照の無限ループが継続的に発生することで、システムのCPU、メモリ、ネットワークインターフェースなどのリソースが大量に消費される。結果として、システムは正当な通信要求に応答できなくなり、システムの応答性の大幅な低下、フリーズ、最終的にはクラッシュや再起動を引き起こすことになる。これにより、標的のシステムが提供していたサービスが停止し、DoS状態となる。

LAND攻撃は、主に古いバージョンのオペレーティングシステムや、特定のネットワーク機器のファームウェアに存在する脆弱性を悪用するものであった。現代の主要なOSやネットワーク機器は、このような自己参照パケットを検知し、自動的に破棄する仕組みが実装されているため、直接的なLAND攻撃による深刻な被害は減少している。しかし、依然としてサポートが終了した古いシステムを使用している環境や、特定の組み込みシステムなどでは、この種の攻撃に対して脆弱である可能性はゼロではないため、注意が必要である。

LAND攻撃に対する主な対策としては、ファイアウォールやルータによるフィルタリングが有効である。ファイアウォールでは、送信元IPアドレスと宛先IPアドレスが同じであるパケットを検出した場合に、そのパケットを破棄するようにルールを設定することが推奨される。特に、外部ネットワークから内部ネットワークへ流入するトラフィックに対して、送信元IPアドレスが内部ネットワークのIPアドレスであるパケットを破棄する「Ingressフィルタリング」は、LAND攻撃だけでなく、IPアドレス偽装を伴う様々な攻撃を防ぐ上で非常に有効なセキュリティ対策である。また、OSやネットワーク機器のセキュリティパッチを常に最新の状態に保つことも、既知の脆弱性を悪用した攻撃からシステムを保護するために極めて重要である。侵入検知システム（IDS）や侵入防御システム（IPS）を導入することで、異常なパケットパターンを検知し、攻撃を自動的に遮断することも有効な防御策となる。