UDP 67ポートが開いている？セキュリティリスクと対策

UDP 67ポートが開いている？ DHCPのセキュリティリスクと具体的な対策

はじめに

ネットワークに接続されたデバイスがインターネットや内部ネットワーク上のリソースを利用するためには、IPアドレスやサブネットマスク、デフォルトゲートウェイ、DNSサーバーといった基本的なネットワーク設定が必要です。これらの設定を手動で行うことは、特に大規模なネットワークにおいては非常に煩雑であり、設定ミスも発生しやすくなります。この課題を解決するために広く利用されているのが、DHCP（Dynamic Host Configuration Protocol）です。

DHCPは、ネットワーク上のデバイスに対してこれらの設定情報を自動的に割り当てるプロトコルであり、ネットワーク管理の手間を大幅に削減し、利便性を向上させます。DHCPサーバーは、クライアントからの要求に応答し、利用可能なIPアドレスプールから一時的にアドレスを割り当てたり、事前に登録されたデバイスに固定のアドレスを割り当てたりする役割を担います。

このDHCPサーバーがクライアントからの要求を受け付ける際に使用するのが、UDPの67番ポートです。DHCPクライアントはUDPの68番ポートを使用してDHCPサーバーからの応答を受信します。したがって、DHCPサーバーが正しく機能するためには、少なくともDHCPクライアントが存在するネットワークセグメントからのUDP 67番ポートへのアクセスが許可されている必要があります。

しかし、「UDP 67ポートが開いている」という状況は、そのネットワークがDHCPサーバーとして機能していることを意味する一方で、セキュリティ上の潜在的なリスクを伴います。特に、このポートが不用意に外部に公開されていたり、内部ネットワークにおいても適切な対策が講じられていなかったりする場合、様々な攻撃の標的となる可能性があります。

本記事では、DHCPとその基盤となるUDP 67ポートの役割について掘り下げ、なぜこのポートが開いていることがセキュリティ上の問題となりうるのか、具体的なリスクシナリオを詳細に解説します。さらに、これらのリスクに対して講じるべき具体的な対策について、技術的な側面も含めて詳しく説明します。ネットワーク管理者、システム担当者、あるいは自宅でルーターを設定する一般ユーザーまで、DHCPとUDP 67ポートのセキュリティについて理解し、適切な対策を講じるための一助となることを目的とします。

UDP 67ポートとDHCPの基本

DHCP（Dynamic Host Configuration Protocol）とは

DHCPは、TCP/IPネットワークにおいて、クライアントデバイスに対してネットワーク設定情報を自動的に割り当てるためのアプリケーション層プロトコルです。主に以下の情報をクライアントに提供します。

• IPアドレス: ネットワーク上でのデバイスの一意な識別子。
• サブネットマスク: IPアドレスのどの部分がネットワークアドレスで、どの部分がホストアドレスかを示すもの。これにより、同一ネットワーク内のデバイスと、ルーターを介して通信する必要があるデバイスを区別できます。
• デフォルトゲートウェイ: 異なるネットワークと通信する際にパケットを転送するルーターのアドレス。
• DNSサーバーアドレス: ドメイン名（例: www.example.com）をIPアドレスに変換するためのサーバーのアドレス。
• リース期間: 割り当てられたIPアドレスをクライアントが利用できる期間。

DHCPの主な利点は、ネットワーク管理の効率化、IPアドレスの衝突回避、モバイルデバイスなどの頻繁にネットワーク接続/切断を繰り返すデバイスへの対応の容易さなどが挙げられます。

DHCPの動作原理（DORAプロセス）

DHCPクライアントがネットワークに接続し、IPアドレスを取得するまでの基本的なプロセスは、以下の4つのステップから構成されており、それぞれのステップで特定のDHCPメッセージが使用されます。この一連の流れはDORAプロセスと呼ばれます。

1. Discover（発見）:

   • 新しくネットワークに接続したDHCPクライアントは、自身のIPアドレスを知りません。そのため、ネットワーク全体に向けて、自身にIPアドレスを割り当ててくれるDHCPサーバーを探すためのブロードキャストメッセージを送信します。これがDHCP Discoverメッセージです。
   • 送信元IPアドレスは0.0.0.0、送信元MACアドレスはクライアント自身のMACアドレスとなります。
   • 宛先IPアドレスはブロードキャストアドレス（通常255.255.255.255）、宛先MACアドレスもブロードキャストアドレス（FF:FF:FF:FF:FF:FF）となります。
   • このメッセージは、UDPの送信元ポート68番から、宛先ポート67番に向けて送信されます。

2. Offer（提供）:

   • DHCP Discoverメッセージを受信したDHCPサーバーは、クライアントに対して割り当て可能なIPアドレスやその他のネットワーク設定情報を含むDHCP Offerメッセージを送信します。
   • DHCPサーバーが複数存在する場合、複数のサーバーからOfferメッセージが届く可能性があります。
   • 送信元IPアドレスはDHCPサーバー自身のIPアドレス、送信元MACアドレスはサーバー自身のMACアドレスとなります。
   • 宛先IPアドレスは、クライアントがまだIPアドレスを持っていないため、ブロードキャストアドレス（255.255.255.255）またはDHCP Offerメッセージ内の「Next Server IP Address」フィールドにサーバーのIPアドレス、そしてクライアント自身のMACアドレスを含むヘッダーで送信されます。多くの実装ではブロードキャストで送信されます。
   • このメッセージは、UDPの送信元ポート67番から、宛先ポート68番に向けて送信されます。

3. Request（要求）:

   • クライアントは受信したOfferメッセージの中から、通常は最初に届いたOfferを選択し、そのOfferで提示されたIPアドレスを使用したいという要求を示すDHCP Requestメッセージを送信します。
   • クライアントが複数のサーバーからOfferを受信した場合でも、Acceptanceメッセージ（Request）はネットワーク全体へのブロードキャストとして送信されます。これは、他のDHCPサーバーに対して、クライアントが特定のOfferを選択したことを通知し、他のOfferを取り消してもらうためです。
   • 送信元IPアドレスは0.0.0.0、送信元MACアドレスはクライアント自身のMACアドレスとなります。
   • 宛先IPアドレスはブロードキャストアドレス（255.255.255.255）、宛先MACアドレスもブロードキャストアドレス（FF:FF:FF:FF:FF:FF）となります。
   • このメッセージは、UDPの送信元ポート68番から、宛先ポート67番に向けて送信されます。

4. ACK（確認応答）:

   • DHCP Requestメッセージを受信したDHCPサーバー（クライアントが選択したサーバー）は、その要求を承認し、正式にIPアドレスとその他の設定情報をクライアントに割り当てるためのDHCP ACK（Acknowledgement）メッセージを送信します。
   • このメッセージを受信したクライアントは、提示された設定情報（IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーなど）を自身のネットワークインターフェースに設定し、DHCPによる設定プロセスを完了します。
   • 送信元IPアドレスはDHCPサーバー自身のIPアドレス、送信元MACアドレスはサーバー自身のMACアドレスとなります。
   • 宛先IPアドレスは、多くの場合ブロードキャストアドレス（255.255.255.255）で送信されますが、クライアントが既にOfferで提示されたIPアドレスを一時的に自身のインターフェースに設定している場合は、そのIPアドレス宛にユニキャストで送信されることもあります。
   • このメッセージは、UDPの送信元ポート67番から、宛先ポート68番に向けて送信されます。

このように、UDP 67番ポートはDHCPサーバーがクライアントからのDiscoverおよびRequestメッセージを受信するために不可欠なポートであり、UDP 68番ポートはDHCPクライアントがサーバーからのOfferおよびACKメッセージを受信するために使用されるポートです。

なぜDHCPはUDPを使用するのか？

DHCPがTCPではなくUDPを使用するのは、主に以下の理由からです。

• シンプルさと速度: TCPはコネクション確立（3ウェイハンドシェイク）や信頼性の確保（シーケンス番号、確認応答、再送制御）のためのオーバーヘッドがあります。一方、UDPはコネクションレスであり、これらの制御を行いません。DHCPはネットワーク接続の初期段階で利用されるため、高速に完了することが重要です。UDPはオーバーヘッドが少ないため、迅速な通信に適しています。
• IPアドレスの未知: DHCPクライアントは、DHCPプロセスを開始する時点では自身のIPアドレスを持っていません。TCPは通信相手のIPアドレスとポート番号を知っている必要がありますが、UDPはIPアドレスがなくても（ブロードキャストアドレスなどを利用して）通信を開始できます。DHCP DiscoverやRequestメッセージをブロードキャストで送信する際には、送信元IPアドレスが0.0.0.0でも通信が可能です。
• 信頼性の必要性の低さ: DHCPメッセージは通常非常に短く、ネットワーク状態が極端に悪くない限り損失する可能性は低いと考えられます。もしメッセージが損失しても、DHCPクライアントやサーバーはタイムアウト後に再送を行うため、ある程度の信頼性は確保できます。また、再送による遅延よりも、最初の応答を迅速に得ることの方が優先されます。

UDPを使用することで、DHCPはシンプルかつ効率的にIPアドレスの割り当てを行うことができます。しかし、コネクションレスであるため、悪意のあるパケットの送信元を偽装しやすい（IPスプーフィングやMACスプーフィング）といった特性があり、これがセキュリティリスクの温床となる側面もあります。

DHCPv6について

本記事の主な焦点はIPv4におけるDHCP (DHCPv4) ですが、IPv6においても同様のDHCP機能が存在します。DHCPv6は、DHCPv4とは異なるポート番号を使用します。DHCPv6クライアントはUDP 546番ポート、DHCPv6サーバーはUDP 547番ポートを使用します。機能やリスクの基本的な考え方はDHCPv4と共通する部分が多いですが、IPv6特有のSLAAC（Stateless Address Autoconfiguration）というアドレス割り当て方式も存在するため、DHCPv6の利用シナリオや対策はIPv4とは異なる側面もあります。ここではDHCPv4 (UDP 67/68) に焦点を当てて解説を進めます。

UDP 67ポート（DHCPサーバー）が開いていることのセキュリティリスク

DHCPサーバーが稼働しているネットワークでは、UDP 67ポートはDHCPクライアントからの要求を受け付けるために「開いている」必要があります。問題となるのは、誰に対して、どの範囲からこのポートが開いているか、そしてそのDHCPサーバーがどのようなセキュリティ対策の下で運用されているか、という点です。不用意に広範囲に対してUDP 67ポートへのアクセスが許可されていたり、サーバーやネットワーク機器に適切な設定がなされていなかったりする場合、以下のような様々なセキュリティリスクが発生します。

1. 不正なDHCPサーバーの設置（Rogue DHCP Server）

これはUDP 67ポートが開いていることに関連する最も一般的で深刻なリスクの一つです。攻撃者がネットワーク内に正規ではないDHCPサーバーを設置し、クライアントに偽のネットワーク設定情報を配布する攻撃です。

攻撃シナリオ:

1. 攻撃者は、正規のDHCPサーバーが応答するよりも早くクライアントのDHCP Discoverに応答するために、高性能なDHCPサーバーソフトウェアやツールを準備します。
2. 攻撃者はネットワーク内に不正なDHCPサーバーを設置します。物理的にネットワークケーブルを接続する場合もあれば、侵害したデバイスを利用する場合もあります。無線LAN環境では、偽のアクセスポイントを設置する手法と組み合わされることもあります。
3. ネットワーク上のクライアントがDHCP Discoverメッセージをブロードキャストすると、正規のDHCPサーバーと同時に、またはそれよりも早く不正なDHCPサーバーも応答します。
4. クライアントは、最初に受け取ったDHCP Offerを選択する傾向があるため、攻撃者の不正なDHCPサーバーからのOfferを選択してしまう可能性があります。
5. 攻撃者のDHCPサーバーは、クライアントからのRequestに対してACKを送信し、偽のネットワーク設定情報を割り当てます。この際、IPアドレス自体は正規のセグメント内の未使用アドレスを割り当てることもあれば、全く異なるセグメントのアドレスを割り当てることもあります。
6. 特に悪質なケースでは、デフォルトゲートウェイやDNSサーバーのアドレスとして、攻撃者が制御するサーバーのアドレスをクライアントに配布します。

引き起こされる被害:

• 中間者攻撃（Man-in-the-Middle, MITM）: 偽のデフォルトゲートウェイを設定されたクライアントは、インターネットへの通信を攻撃者の制御するルーターを経由して行います。攻撃者はこの通信を傍受、盗聴、改ざんすることが可能になります。SSL/TLS通信も、偽の証明書を使用して傍受されるリスクがあります（ただし、クライアント側での警告表示や検証によって防げる場合もあります）。
• フィッシング詐欺やマルウェア配布: 偽のDNSサーバーを設定されたクライアントは、正当なドメイン名（例: 銀行のウェブサイト、社内ポータル）を引いた際に、攻撃者の管理する偽サイトのIPアドレスを返される可能性があります。これにより、ユーザーをフィッシングサイトに誘導したり、マルウェアをダウンロードさせたりすることが可能になります。
• サービス拒否（DoS）: 全く機能しないデフォルトゲートウェイやDNSサーバーのアドレス、あるいは無効なIPアドレスやサブネットマスクを配布することで、クライアントの通信を完全に遮断し、ネットワーク全体のサービス停止を引き起こす可能性があります。
• ネットワーク情報の収集: 攻撃者はDHCP Discoverパケットを傍受することで、ネットワーク内のクライアントのMACアドレスやホスト名などの情報を収集することができます。

この攻撃は、特に認証されていないユーザーが物理的にネットワークにアクセスできる環境や、適切なアクセスコントロールが設定されていない無線LAN環境などで容易に実行される可能性があります。

2. DHCP Starvation Attack（DHCP枯渇攻撃）

この攻撃は、DHCPサーバーが管理するIPアドレスプールを使い果たさせ、正規のクライアントがIPアドレスを取得できなくなるようにするサービス拒否（DoS）攻撃の一種です。

攻撃シナリオ:

1. 攻撃者は、DHCPクライアントになりすますために、大量の偽のMACアドレスを生成します。
2. これらの偽のMACアドレスを使用して、DHCPサーバーに対して大量のDHCP Discoverメッセージを連続して送信します。
3. DHCPサーバーは、それぞれのDiscoverメッセージに対して、IPアドレスプールから利用可能なIPアドレスを割り当て、Offerメッセージを送信します（またはリース予約を行います）。
4. 攻撃者は、Offerを受信したかどうかに関わらず、ひたすらDiscoverメッセージを送信し続けます。
5. DHCPサーバーは、大量のDiscoverメッセージに対応するために、IPアドレスプール内のアドレスを次々と割り当て（リース予約し）、最終的にプールを使い果たしてしまいます。
6. その後、正規のクライアントがDiscoverメッセージを送信しても、DHCPサーバーは割り当てるべきIPアドレスがないため、Offerを返すことができなくなります。

引き起こされる被害:

• サービス拒否（DoS）: 新規にネットワークに参加したデバイス（PC、スマートフォン、プリンター、IoTデバイスなど）がIPアドレスを取得できなくなり、ネットワーク通信が一切行えなくなります。既存のデバイスも、リース期間が終了してIPアドレスを更新しようとした際に、アドレスを取得できなくなる可能性があります。
• 業務停止: 企業ネットワークでこの攻撃が発生すると、従業員のPCがネットワークに接続できなくなり、基幹業務を含めあらゆる活動が停止する深刻な事態を招く可能性があります。
• 管理負担の増大: ネットワーク管理者は、攻撃の原因特定と復旧に多大な時間を要します。

この攻撃は、DHCPサーバーが受信するDHCP要求の数を適切に制限していない場合に有効です。攻撃者は比較的簡単なツールを使用して大量の偽のMACアドレスを生成し、パケットを送信することが可能です。

3. DHCP Spoofing（DHCPスプーフィング）

DHCPスプーフィングは、攻撃者がDHCPクライアントになりすまして、DHCPサーバーに不正な要求を送信する攻撃です。

攻撃シナリオ:

• 特定のIPアドレスのリースを要求する。
• 他の正規のクライアントのリース情報を操作しようとする（例: リース期間の早期終了、他のクライアントのアドレスを横取りしようとする）。
• 偽のクライアント情報を送信し、ログや監視を妨害する。

引き起こされる被害:

• 不正なIPアドレスの取得: 攻撃者が特定のIPアドレス（例えば、既知のサーバーが使用しているアドレス）を取得しようとすることで、IPアドレスの衝突や、攻撃者がそのアドレスを使って不正な通信を行うリスクが生じます。
• 正規クライアントの通信妨害: 他のクライアントのリース情報を操作することで、そのクライアントのネットワーク接続を妨害する可能性があります。
• ネットワークの不安定化: 多数の不正な要求や偽の情報がDHCPサーバーに送信されることで、サーバーの負荷が増大したり、予期しない動作を引き起こしたりする可能性があります。

DHCPスプーフィング自体が直接的な被害をもたらすよりも、他の攻撃（例えば、攻撃者が正規クライアントになりすましてアクセス制御を回避しようとする）の準備段階として利用されることが多いです。

4. DHCP Discover/Inform Flood Attack

これはDHCP Starvation Attackと似ていますが、より広範なサービス拒否を狙った攻撃です。大量のDHCP Discoverメッセージや、既にIPアドレスを取得しているクライアントが追加情報を要求する際に使用するDHCP Informメッセージを洪水のようにDHCPサーバーに送信することで、サーバーのリソース（CPU、メモリ、ネットワーク帯域）を枯渇させ、正規のDHCP処理を妨害します。

攻撃シナリオ:

1. 攻撃者は、偽のMACアドレスやIPアドレスを使用するか、あるいは侵害した多数のデバイスを利用して、DHCPサーバーに大量のDHCP DiscoverまたはInformパケットを送信します。
2. DHCPサーバーは、これらの大量のパケットを処理しようとして、リソースを消費します。
3. 正規のクライアントからの要求が、攻撃パケットに埋もれて処理されなくなったり、サーバーのリソース不足により応答が遅延または失敗したりします。

引き起こされる被害:

• サービス拒否（DoS）: DHCPサーバーの応答が遅延または停止し、新規クライアントの接続や既存クライアントのIPアドレス更新ができなくなり、ネットワーク通信が阻害されます。
• サーバーの不安定化: 過負荷によりDHCPサーバーがクラッシュしたり、他のサービス（DHCPサーバーがDNSサーバーなどを兼ねている場合）に影響が出たりする可能性があります。

5. Information Gathering（情報収集）

DHCPサーバーにDHCP Discoverメッセージを送信し、その応答（DHCP Offer/ACK）を分析することで、ネットワークに関する様々な情報を収集されるリスクがあります。

取得される可能性のある情報:

• DHCPサーバーのIPアドレス
• IPアドレスの割り当て範囲（プール）
• サブネットマスク
• デフォルトゲートウェイのアドレス
• DNSサーバーのアドレス
• リース期間
• DHCPサーバーソフトウェアの種類やバージョン（パケットの詳細分析やフィンガープリンティングによる）

引き起こされる被害:

• 攻撃準備: 収集された情報は、攻撃者がターゲットネットワークの構造を理解し、その後の攻撃計画（例: スキャン範囲の特定、脆弱性のあるサービスの推測）を立てるために利用されます。例えば、デフォルトゲートウェイのアドレスを知れば、そのルーターを標的とした攻撃を試みる可能性があります。

この情報収集は、単独で大きな被害をもたらすものではありませんが、他の攻撃と組み合わせることで、攻撃の効果を高めることにつながります。特に、外部ネットワークから直接DHCP Discoverパケットを送信し、応答があるかどうかを確認できるような状態（DHCPサーバーがDMZやインターネットに直結している、あるいはファイアウォールでUDP 67ポートへのアクセスが無制限に許可されているなど）は危険です。

これらのリスクは、UDP 67ポートが「開いている」こと、すなわちDHCPサーバーがパケットを受け付ける状態にあること自体が問題なのではなく、誰からのパケットを受け付けるか、そして受け付けたパケットをどのように処理するか、さらにネットワークインフラがDHCP通信をどのように制御するか、という点に適切な対策が講じられていない場合に顕在化します。特に、外部からのアクセスや、内部ネットワークにおける悪意のある第三者からの攻撃を防ぐための仕組みが重要になります。

自身の環境でUDP 67ポートが開いているか確認する方法

自身のネットワーク環境でDHCPサーバーが稼働しており、UDP 67ポートがクライアントからの要求を受け付けているかを確認する方法はいくつかあります。

1. DHCPサーバー自体の設定確認

• ルーターやファイアウォール: 家庭用ルーターや企業向けファイアウォール機器の管理画面にアクセスし、DHCPサーバー機能が有効になっているか確認します。有効になっている場合、通常はUDP 67番ポートでクライアントからの要求を待機しています。
• サーバーOS: Windows ServerやLinuxサーバーなどでDHCPサーバーサービス（WindowsではDHCPサービス、Linuxではisc-dhcp-serverなど）がインストールされ、起動しているか確認します。サービスのプロパティや設定ファイルを確認し、どのインターフェースでリッスンしているかを確認します。

2. ファイアウォールの設定確認

DHCPサーバーの前段にファイアウォールがある場合、そのファイアウォールでUDP 67ポートへのインバウンド接続が許可されているか確認します。

• 企業向けファイアウォール: アクセスリスト、セキュリティポリシー、ファイアウォールルールなどを確認し、DHCPサーバーのIPアドレス（またはDHCPサーバーが存在するネットワークセグメント）のUDP 67番ポートに対して、どのソースからのアクセスが許可されているかを確認します。
• サーバーOSのファイアウォール: Windows FirewallやLinuxのiptables/firewalldなどの設定を確認し、UDP 67番ポートへの受信が許可されているか確認します。

特に、外部ネットワーク（インターネット）からのUDP 67ポートへのアクセスが許可されている設定になっていないか、信頼できない内部セグメントからのアクセスが許可されていないかを確認することが重要です。

3. ポートスキャンツールによる確認

ネットワーク上の特定ホスト（DHCPサーバーのIPアドレス）に対して、UDP 67ポートが開いているか（正確には応答があるか）を外部から確認することができます。ただし、自身の管理するネットワーク内、かつ許可された範囲でのみ実施してください。無許可のポートスキャンは不正アクセス行為となり得ます。

広く使われているポートスキャンツールにnmapがあります。nmapはTCPだけでなくUDPポートのスキャンも可能です。

基本的なUDPポートスキャン:

bash
nmap -sU -p 67 <ターゲットIPアドレスまたはホスト名>

• -sU: UDPスキャンを指定します。
• -p 67: 67番ポートを指定します。
• <ターゲットIPアドレスまたはホスト名>: スキャン対象のIPアドレスまたはホスト名を指定します。

UDPスキャンはTCPスキャンよりも時間がかかり、結果の解釈も少し異なります。UDPポートが開いているか閉じているかを確実に判断するのが難しいため、「open」と表示されるよりも「open|filtered」や単に「filtered」と表示されることが多いです。

• open: DHCPサーバーが応答した可能性が高いです。
• open|filtered: 応答がない、またはファイアウォールによってブロックされている可能性があります。UDPスキャンでは、応答がない場合に「open」なのか「filtered」なのか区別できない場合があります。
• closed: ICMP Port Unreachableエラーが返された場合。ポートが閉じている可能性が高いです。
• filtered: ファイアウォールなどでパケットがブロックされ、応答がない場合。

DHCP Discoverスクリプトを使用した確認:

nmapには、DHCPサーバーを特定するための専用スクリプトも含まれています。これを使用すると、DHCP Discoverパケットを送信し、応答があるかどうかを確認できます。

bash
nmap -sU -p 67 --script dhcp-discover <ターゲットIPアドレスまたはネットワークアドレス>

• --script dhcp-discover: DHCP Discoverスクリプトを実行します。

このコマンドを実行すると、指定したIPアドレス（またはネットワーク範囲内のホスト）に対してDHCP Discoverパケットを送信し、応答があればその詳細（サーバーIP、割り当てられるIPアドレス範囲、ルーター、DNSなど）を表示してくれます。これにより、そのホストがDHCPサーバーとして機能しているか、そしてどのような設定情報を配布しているかを確認できます。

重要: これらのスキャンは、自身のネットワーク内、かつ許可された目的のためにのみ行ってください。特に、外部からのスキャンは、外部ファイアウォールの設定を確認するために役立ちますが、無許可で他者のネットワークに対して実行することは絶対に避けてください。

UDP 67ポート（DHCPサーバー）のリスクに対する具体的な対策

DHCPはネットワーク運用に不可欠なサービスですが、そのセキュリティ対策は決して怠ってはなりません。UDP 67ポートに関連するリスクを低減するためには、複数の対策を組み合わせた多層防御が有効です。以下に具体的な対策を詳述します。

1. ファイアウォールによる厳格なアクセス制御

これは最も基本的かつ重要な対策です。DHCPサーバーへのUDP 67ポートへのアクセスを、信頼できるソースからのものに限定します。

• 外部ネットワークからのアクセス遮断: インターネット側やDMZなど、信頼できないネットワークセグメントからのDHCPサーバー（UDP 67ポート）へのアクセスは、完全に遮断する必要があります。通常、組織内のDHCPサーバーは内部ネットワークのみにサービスを提供します。インターネット側からのDHCP Discoverに応答してしまう設定になっていると、情報漏集や攻撃の起点となり得ます。
• 内部ネットワークからのアクセス制限: 内部ネットワーク内でも、DHCPサーバーがサービスを提供するべき特定のネットワークセグメント（VLANなど）からのアクセスのみを許可し、それ以外のセグメント（管理用セグメント、サーバーセグメントなど）からのDHCPクライアント要求は遮断します。DHCPリレーエージェントを使用している場合は、DHCPサーバーはリレーエージェントからのパケットのみを受け付けるように設定します。
• DHCPサーバー自身のファイアウォール: DHCPサーバーが稼働しているOSにもファイアウォール（Windows Firewall, iptables/firewalldなど）を設定し、UDP 67ポートへのアクセスを許可する送信元IPアドレスやセグメントを明示的に指定します。これにより、仮にネットワーク機器のファイアウォール設定に漏れがあっても、サーバー自体で不正なアクセスを防ぐことができます。
• 特定のIP/MACアドレスからの許可（限定的）: 非常に厳格な環境では、事前に登録された特定のMACアドレスを持つデバイスや、特定の固定IPアドレスを持つデバイスからのDHCP要求のみを許可する設定も可能ですが、運用負荷が高い場合が多いです。通常は、信頼できるネットワークセグメント単位での制御が一般的です。

ファイアウォール設定は、サービスを提供すべき範囲を明確にし、それ以外の範囲からのアクセスを許可しないという「最小権限の原則」に基づいて行うことが重要です。

2. スイッチにおけるDHCP Snoopingの活用

DHCP Snoopingは、ネットワークスイッチ（レイヤー2またはレイヤー3スイッチ）に実装されるセキュリティ機能で、不正なDHCPサーバーの設置やDHCP Starvation Attackに対する非常に効果的な対策となります。

仕組み:

DHCP Snoopingでは、スイッチポートを以下の2種類に分類します。

• 信頼できるポート（Trusted Port）: DHCPサーバーが接続されているポート、または正規のDHCPリレーエージェントが接続されているポートなど、正規のDHCPメッセージが送受信されることを期待するポートです。このポートから受信したDHCPパケットは信頼できるものとして扱われます。
• 信頼できないポート（Untrusted Port）: クライアントデバイスが接続されているポートなど、不正なDHCPメッセージが送信される可能性があるポートです。このポートから受信した特定のDHCPパケットは検証や制限の対象となります。

DHCP Snoopingの主な機能:

• 不正DHCPサーバー対策: 信頼できないポートからDHCPサーバー応答パケット（DHCP Offer, DHCP ACK, DHCP NAKなど、UDP 67番ポートを送信元とするパケット）を受信した場合、そのパケットを破棄します。これにより、ネットワーク内に不正なDHCPサーバーが設置されても、クライアントがそのサーバーからの偽のOfferやACKを受け取ることができなくなります。正規のOffer/ACKは信頼できるポートからのみ通過を許可します。
• DHCP Starvation対策: 信頼できないポートから受信するDHCP DiscoverパケットやDHCP Requestパケットの数をレート制限（Rate Limiting）します。これにより、攻撃者が大量のDHCP要求パケットを送信してDHCPサーバーを枯渇させる攻撃を防ぎます。
• DHCP Snooping Binding Tableの作成: DHCP Snoopingが有効なスイッチは、正規のDHCPサーバーから割り当てられたIPアドレス、クライアントMACアドレス、関連付けられたVLAN ID、そしてそのクライアントが接続しているポート番号といった情報を記録した「DHCP Snooping Binding Table」を作成・維持します。このテーブルは、後述するARP InspectionやIP Source Guardといった他のセキュリティ機能の基盤となります。
• DHCP Option 82（Relay Agent Information）の検証: DHCPリレーエージェントを使用している環境では、リレーエージェントがDHCPパケットに自身の情報を追加するOption 82を付加します。DHCP Snoopingは、このOption 82情報が正規のリレーエージェントによって追加されたものであるかなどを検証することも可能です。

DHCP Snoopingを導入することで、不正なDHCPサーバーによるMITM攻撃や、DHCP StarvationによるDoS攻撃に対して非常に強力な防御を構築できます。DHCP Snoopingは通常、アクセスレイヤー（末端のユーザーが接続するスイッチ）で設定するのが効果的です。

3. ARP Inspection（Dynamic ARP Inspection, DAI）

ARP Inspectionは、DHCP Snoopingと組み合わせて利用することで、中間者攻撃の主要な手口であるARPスプーフィング（ARPキャッシュポイズニング）を防ぐセキュリティ機能です。

仕組み:

DHCP Snooping Binding Tableに記録された正規のIPアドレスとMACアドレスの組み合わせ情報に基づいて、ネットワークを流れるARPパケットの正当性を検証します。

• スイッチは、信頼できないポートから受信したARPパケット（ARP RequestやARP Reply）について、その送信元IPアドレスと送信元MACアドレスの組み合わせがDHCP Snooping Binding Tableに存在するかどうかを確認します。
• テーブルに記録されている組み合わせと一致しない不正なARPパケット（例: 攻撃者が自身をデフォルトゲートウェイや他のホストになりすますために送信する偽のARP Reply）は破棄します。
• 信頼できるポートから受信したARPパケット（例: デフォルトゲートウェイからのARP Reply）は、通常は検証なしで通過させます。

効果:

ARP Inspectionは、不正なARPパケットをブロックすることで、以下の攻撃を防ぎます。

• 中間者攻撃（MITM）: 攻撃者が偽のARPパケットを送信し、他のデバイスのARPキャッシュを汚染することで通信経路を乗っ取ろうとする試みを阻止します。これにより、盗聴や改ざんを防ぎます。
• サービス拒否（DoS）: 大量の不正なARPパケットを送信してネットワーク帯域を消費させたり、デバイスの処理能力を奪ったりする攻撃を防ぎます。

DHCP SnoopingとARP Inspectionを組み合わせることで、DHCPによるIPアドレス割り当てのセキュリティと、ネットワーク上のARP通信の正当性を同時に確保できます。ただし、固定IPアドレスを使用しているデバイスについては、ARP Inspectionが参照するBinding Tableに情報がないため、これらのデバイスのIPアドレスとMACアドレスを手動でARP ACL（Access Control List）としてスイッチに設定する必要がある場合があります。

4. IP Source Guard（IPSG）

IP Source Guardは、DHCP Snooping Binding Tableを利用して、不正な送信元IPアドレスやMACアドレスを持つパケットの送信を防ぐセキュリティ機能です。

仕組み:

DHCP Snooping Binding Tableに記録された情報に基づいて、信頼できないポートから受信したIPパケットの送信元IPアドレスと送信元MACアドレスを検証します。

• スイッチは、信頼できないポートから受信したIPパケットについて、その送信元IPアドレスと送信元MACアドレスの組み合わせがDHCP Snooping Binding Tableに記録されている組み合わせと一致するかを確認します。
• 一致しないパケット（例: 攻撃者が他のデバイスのIPアドレスを偽装して送信したパケット、またはMACアドレススプーフィングされたパケット）は破棄します。

効果:

IP Source Guardは、以下の攻撃を防ぎます。

• IP/MACアドレススプーフィング: クライアントが、自身に割り当てられていないIPアドレスや偽のMACアドレスを使用して通信することを防ぎます。
• 不正アクセス: 攻撃者が他の正規ユーザーになりすましてネットワークにアクセスしようとする試みを阻止します。

IP Source GuardもDHCP SnoopingやARP Inspectionと組み合わせて利用されることが一般的です。DHCPによって割り当てられた正規のIPアドレスとMACアドレスの組み合わせ以外の通信を遮断することで、ネットワーク上の不正なパケットの流通を効果的に抑制できます。ARP Inspectionと同様に、固定IPアドレスのデバイスについては手動でのバインディング情報の設定が必要となる場合があります。

5. DHCPサーバー自体のセキュリティ強化

DHCPサーバーが稼働しているOSやソフトウェア自体に対するセキュリティ対策も重要です。

• 最新のパッチ適用: OSおよびDHCPサーバーソフトウェア（Microsoft DHCP Server, ISC DHCP Serverなど）には、セキュリティ脆弱性が発見されることがあります。これらの脆弱性を悪用した攻撃を防ぐために、常に最新のセキュリティパッチを適用することが不可欠です。
• 不要なサービスの停止: DHCPサーバー以外の不要なサービスは停止します。これにより、攻撃対象となる範囲を減らすことができます。
• 管理アクセスの制限: DHCPサーバーの管理インターフェースへのアクセスは、許可された特定のIPアドレスやネットワークからのみに制限し、強力な認証（複雑なパスワード、多要素認証など）を設定します。リモートからの管理が必要な場合は、VPNやSSHなどのセキュアな方法を利用します。
• 最小権限での実行: DHCPサーバーサービスを、必要最小限の権限を持つユーザーアカウントで実行するように設定します。これにより、仮にDHCPサービスが侵害されても、システム全体への影響を最小限に抑えることができます。
• ログの適切な管理と監視: DHCPサーバーのログには、IPアドレスのリース状況、要求元のMACアドレス、エラー情報などが記録されています。これらのログを適切に管理（十分な保存期間、安全な場所への保管）し、異常なパターン（大量のリース要求、特定のIPアドレスへの繰り返し要求、エラーの多発など）を監視することで、攻撃の兆候や不正なDHCPサーバーの存在を早期に発見できる可能性があります。SIEM（Security Information and Event Management）システムと連携させることも有効です。
• 物理的なセキュリティ: DHCPサーバーが物理的にアクセス可能な場所に設置されている場合、不正なデバイスの接続やサーバー自体の操作による攻撃のリスクがあります。サーバーを安全な場所に設置し、物理的なアクセス制御（鍵付きラック、入退室管理など）を行います。

6. ネットワーク設計によるセグメンテーション

VLAN（Virtual LAN）などの技術を使用してネットワークを複数のセグメントに分割し、各セグメント間の通信をルーターやファイアウォールで制御します。

• DHCPが必要なセグメントの限定: DHCPサービスが必要なのは、通常、PCやスマートフォン、プリンターなどのクライアントデバイスが存在するセグメントです。サーバーセグメントやネットワーク機器管理セグメントなど、固定IPアドレスを使用するデバイスが多いセグメントでは、DHCPサーバーからのIPアドレス配布を無効にするか、DHCPサーバーがそれらのセグメントにサービスを提供しないように設定します。
• VLAN間のDHCP通信制御: DHCPサーバーが複数のVLANにIPアドレスを配布する場合、通常は各VLANにDHCPリレーエージェント（ルーターやレイヤー3スイッチの機能）を設定し、DHCPサーバーはリレーエージェントからの要求のみを受け付けるようにします。これにより、DHCPサーバーは特定のVLAN内のクライアントと直接通信する必要がなくなり、アクセス制御が容易になります。ファイアウォールで、リレーエージェントのIPアドレスからのUDP 67番ポートへのアクセスのみを許可するように設定します。

ネットワークを適切にセグメンテーションすることで、攻撃の影響範囲を限定し、DHCPサーバーへの不正なアクセスを防ぐことができます。

7. 不正なDHCPサーバーの検出

ネットワーク監視ツールや専用のツールを使用して、ネットワーク内に正規のDHCPサーバー以外からDHCP Offer/ACKが送信されていないかを定期的に監視することも重要です。

• 監視ツール: ネットワーク監視システム（Nagios, Zabbixなど）やネットワークトラフィック分析ツール（Wiresharkなど）を使用して、UDP 67番ポートを送信元とするパケットが、正規のDHCPサーバー以外のソースから送信されていないかを検出するルールを設定します。
• 専用ツール: 不正DHCPサーバー検出に特化したツールやスクリプトも存在します。これらを定期的に実行してネットワークをスキャンし、未知のDHCPサーバーが応答していないか確認します。
• 定期的な監査: 定期的にポートスキャンツール（nmapなど）やDHCP Discoverスクリプトを実行し、DHCPサービスを提供するホストが正規のDHCPサーバーのみであることを確認します。

これらの検出手法は、攻撃発生後の早期発見に役立ち、被害拡大を防ぐために不可欠です。

8. 無線LAN環境における追加対策

無線LAN環境は、有線LANに比べて不正なデバイスの接続が容易であるため、DHCPセキュリティのリスクが高くなります。

• 認証強化: WPA2/WPA3-Enterpriseなどの802.1X認証を利用し、正規のユーザーやデバイスのみをネットワークに接続させます。これにより、そもそも攻撃者がネットワークに接続すること自体を困難にします。
• ゲストWi-Fiの分離: ゲスト向けの無線LANネットワークは、内部ネットワークとは完全に分離したVLANに構成し、DHCPサーバーも内部ネットワークのサーバーとは別に用意するか、内部ネットワークのDHCPサーバーを利用する場合はファイアウォールやDHCPリレーエージェントを使って厳格なアクセス制御を行います。ゲストネットワークのDHCPサーバーが内部ネットワークの設定情報を配布しないように注意が必要です。
• 無線APのセキュリティ: 無線アクセスポイント（AP）自体にDHCP Snooping機能が搭載されている場合は、これを有効にします。また、不正なAP（Rogue AP）が設置されていないか定期的に監視します。

9. クライアント側の対策（限定的）

DHCPセキュリティ対策の主眼はネットワークインフラ側（サーバー、スイッチ、ファイアウォール）にありますが、クライアント側でもできる対策は限定的です。

• OSのファイアウォール: クライアントOSのファイアウォール設定を確認し、意図せずDHCPサーバー機能が有効になっていないか確認します（通常は無効ですが）。また、不明なソースからのDHCP Offer/ACKを受け入れないような設定が可能であれば検討します（OSの標準機能としては難しい場合が多い）。
• 静的IPアドレス設定（限定的）: 特定の重要なサーバーやデバイスについては、DHCPによる動的割り当てではなく、手動で静的IPアドレスを設定することを検討します。ただし、設定の手間が増え、IPアドレス管理が煩雑になるため、すべてのデバイスに適用するのは非現実的です。

クライアント側の対策は、ネットワーク全体のセキュリティを担保するものではなく、インフラ側での対策がより重要であることに留意してください。

DHCPの運用における注意点

DHCPサービスを安全かつ安定的に運用するためには、セキュリティ対策だけでなく、日々の運用管理も重要です。

• IPアドレスプールの管理:
  • ネットワーク規模に対して適切なサイズのIPアドレスプールを設定します。プールが小さすぎるとStarvation攻撃を受けやすくなり、大きすぎると情報収集のリスクを高めます。
  • IPアドレスの使用状況（リース状況）を定期的に確認し、枯渇の兆候がないか監視します。
  • DHCPサーバーの設定で、未使用アドレスのリース期間終了後の回収設定が適切に行われているか確認します。
• リース期間の設定:
  • IPアドレスのリース期間は、ネットワーク環境やクライアントの接続頻度に応じて適切に設定します。
  • リース期間を短く設定すると、IPアドレスの回転が速くなり、Starvation攻撃によるアドレス枯渇からの復旧が早まる可能性がありますが、DHCPトラフィックが増加し、クライアント側の処理負荷も増える可能性があります。
  • リース期間を長く設定すると、トラフィックは減少しますが、Starvation攻撃を受けた際にアドレスプールが解放されるまでに時間がかかり、被害が長期化する可能性があります。
• 固定IPアドレスの割り当て（DHCP予約/除外）:
  • サーバー、ネットワークプリンター、ネットワーク機器など、常に同じIPアドレスを使用する必要があるデバイスには、DHCPによる動的割り当てではなく、DHCPサーバーでMACアドレスに基づいたIPアドレスの固定割り当て（Reservation）を設定するか、DHCPプールから除外して手動で静的IPアドレスを設定します。これにより、これらの重要なデバイスのIPアドレスが意図せず変更されたり、他のデバイスに割り当てられたりすることを防ぎます。
• ログの監視と分析:
  • DHCPサーバーのログは、前述のセキュリティ監視だけでなく、運用上の問題（リース失敗、IPアドレス衝突、サーバーエラーなど）の検出にも不可欠です。定期的にログを確認し、異常がないか分析します。
• バックアップと復旧計画:
  • DHCPサーバーの設定情報（IPアドレスプール、予約情報、スコープ設定など）は定期的にバックアップを取得します。
  • サーバー障害や設定ミスの発生時に、迅速にDHCPサービスを復旧できるよう、復旧計画を立てておきます。冗長構成（DHCP Failoverなど）を導入することも検討します。
• 構成変更管理:
  • ネットワーク構成やDHCP設定を変更する際は、事前に影響を十分に評価し、変更履歴を記録します。不用意な変更がセキュリティリスクを高めたり、サービス停止を引き起こしたりする可能性があります。

DHCPv6におけるポートとリスク

前述の通り、IPv6におけるDHCP (DHCPv6) はUDP 546番ポート（クライアント）とUDP 547番ポート（サーバー）を使用します。DHCPv4と同様に、DHCPv6サーバーが稼働している環境ではUDP 547番ポートが開いています。

DHCPv6においても、DHCPv4と同様の基本的なリスク（Starvation, Spoofing, Flood攻撃、不正DHCPv6サーバー）が存在します。攻撃者が不正なDHCPv6サーバーを設置し、偽のIPv6アドレスやDNSサーバーアドレス（RDNSS; Recursive DNS Server）をクライアントに配布することで、中間者攻撃やフィッシングサイトへの誘導を行う可能性があります。また、大量のDHCPv6要求パケットを送信することで、DHCPv6サーバーを枯渇させるStarvation攻撃も可能です。

IPv6環境では、DHCPv6だけでなく、SLAAC（Stateless Address Autoconfiguration）というアドレス割り当て方式も広く利用されます。SLAACはルーターからのRA（Router Advertisement）メッセージに基づいてアドレスを生成しますが、SLAAC単体ではDNSサーバー情報などを配布できないため、DHCPv6（Stateful DHCPv6）やRAメッセージとDHCPv6（Stateless DHCPv6）を組み合わせて利用することが一般的です。この場合、不正なRAメッセージによる攻撃（Router Advertisement Spoofing）にも注意が必要です。

DHCPv6に対する対策も、DHCPv4の考え方と類似しています。

• ファイアウォールによるアクセス制御: UDP 547番ポートへのアクセスを正規のリレーエージェントやクライアントセグメントからの通信に限定します。
• DHCPv6 Snooping: スイッチやルーターのDHCPv6 Snooping機能を有効にし、不正なDHCPv6応答パケットを破棄します。
• RA Guard (Router Advertisement Guard): 不正なRAメッセージをブロックすることで、SLAACやDHCPv6を組み合わせた環境における偽ルーター攻撃や偽DNSサーバー設定を防ぎます。
• IPv6 Source Guard (IPv6 SG): DHCPv6やSLAACによって割り当てられた正規のIPv6アドレス以外の送信元アドレスを持つパケットをブロックします。

IPv6ネットワークを構築・運用する際は、DHCPv6（UDP 546/547）だけでなく、SLAACやRAメッセージに関わるセキュリティ（ICMPv6 type 134/137）も考慮し、統合的な対策を講じる必要があります。

まとめ

UDP 67ポートはDHCPサーバーがクライアントからの要求を受け付けるために使用する重要なポートです。このポートが開いていること自体はDHCPサービスの機能上必須ですが、そのセキュリティ対策が不十分である場合、様々な深刻なリスクが発生します。

主なリスクとしては、攻撃者による不正なDHCPサーバーの設置（Rogue DHCP Server）による中間者攻撃やフィッシング詐欺、大量の偽要求によるDHCPサーバーの枯渇（DHCP Starvation Attack）によるサービス拒否、その他DHCPスプーフィングやFlood攻撃、そしてネットワーク構成情報の収集などが挙げられます。これらの攻撃は、ネットワークの可用性、機密性、完全性に大きな影響を与える可能性があります。

これらのリスクに対する具体的な対策は多岐にわたりますが、最も効果的なのは、ファイアウォールによるDHCPサーバー（UDP 67ポート）への厳格なアクセス制御、そしてネットワークスイッチのDHCP Snooping、ARP Inspection、IP Source Guardといった機能を活用することです。これらの機能は、ネットワークインフラのレイヤーで不正なDHCP通信や関連する偽装パケットを排除し、DHCPによって割り当てられた正規のIPアドレスとMACアドレスの組み合わせのみを許可することで、強固な防御を構築します。

さらに、DHCPサーバー自体のOSやソフトウェアのセキュリティ強化（パッチ適用、不要サービス停止、アクセス制限、ログ監視）や、VLANなどによるネットワークの適切なセグメンテーション、そして不正なDHCPサーバーの検出といった対策も不可欠です。無線LAN環境では、認証強化やゲストネットワークの分離といった追加の対策が必要となります。

DHCPは、今日のネットワーク環境において不可欠な基盤サービスです。その利便性を享受するためには、潜在的なセキュリティリスクを十分に理解し、本記事で解説したような技術的な対策や運用上の注意点を組み合わせ、多層的なセキュリティ対策を講じることが極めて重要です。DHCPサーバーが「開いている」UDP 67ポートを、正規の、そして保護された通信のみが通過できるように管理することが、ネットワーク全体のセキュリティレベル向上につながります。

免責事項/注意事項

本記事は、UDP 67ポートおよびDHCPに関連する一般的なセキュリティリスクと対策について、可能な限り詳細な情報を提供することを目的としています。しかし、ネットワーク環境は個々に異なり、組織の規模、構成、利用技術、運用ポリシーなどによって、最適な対策やリスクの優先度は異なります。

本記事の内容は一般的な情報提供であり、特定の環境におけるセキュリティを完全に保証するものではありません。記事中に記載されている対策や設定例（概念的なものを含む）を実装する際は、必ず自身のネットワーク環境の現状、リスク評価、利用している機器やソフトウェアの仕様などを十分に確認し、影響を理解した上で慎重に進めてください。可能であれば、ネットワークセキュリティの専門家と相談し、自社の環境に合わせた適切な設計と実装を行うことを強く推奨します。また、ポートスキャンなどのツールの使用にあたっては、必ず自身の管理するネットワーク内、かつ許可された範囲でのみ実施し、無許可の行為は行わないでください。