# 実践ネットワーク・ペネトレーションテストの全体像【2026】攻撃クラスの地図と防御設計 — 公式ドキュメント忠実版

> ネットワーク層（L2〜L4）の攻撃手法を、NIST SP 800-115 の方法論と MITRE ATT&CK に忠実に体系化する完全ガイド。偵察・ポートスキャン、ARPスプーフィング/MITM、DNSキャッシュポイズニング、TCPセッションハイジャック、SYNフラッド、パケット盗聴を、各攻撃の『なぜ刺さるか』と『RFC準拠でどう防ぐか』を必ず対で解説。すべて自分のラボ・CTF・許可スコープに閉じた合法な手順で、攻めの理解を防御設計に変えます。

- 公開日: 2026-06-28
- 著者: 友田 陽大
- タグ: セキュリティ, ネットワーク, TCP/IP, 脆弱性診断, ホワイトハッカー, 倫理的ハッキング
- URL: https://tomodahinata.com/blog/network-penetration-testing-methodology-attack-defense-guide
- カテゴリ: 実践ネットワーク攻撃と防御

## 要点

- ネットワークペンテストは『勘』ではなく方法論。NIST SP 800-115 の4フェーズ（計画→発見→攻撃→報告）で、L2〜L4の攻撃面を一つずつ潰す。本記事はその地図と各スポークへの入口
- 攻撃面は OSI 下位層で捉える：L2（ARPスプーフィング/MITM）、L3（IPスプーフィング/ICMP）、L4（ポートスキャン/TCPセッションハイジャック/SYNフラッド）、横断（DNSスプーフィング/盗聴）
- Webアプリ攻撃（SQLi/XSS等）と違い、ネットワーク攻撃は『同一セグメントにいる』『経路上にいる』が前提になることが多い。だからゼロトラスト・暗号化・セグメンテーションが効く
- 合法の絶対条件は『許可（スコープ）』。本クラスタの全手順は3つの安全地帯（自分の資産／CTF／書面で許可されたスコープ）に閉じる。無許可スキャン1発でも不正アクセス禁止法・電気通信事業法に触れうる
- 攻撃の理解は防御に直結する。各手法は『どう刺さるか』と必ず対で『どうRFC準拠で潰すか』（DAI・DNSSEC・RFC 5961・BCP 38・TLS）を示す。攻めと守りは同じコインの裏表

---

ネットワークのペネトレーションテストは、ツールを撃ちまくる行為ではありません。**再現可能な「方法論」**です。優れた診断者は、`nmap` を闇雲に叩くのではなく、**攻撃面（attack surface）の地図を持ち、フェーズに沿って体系的に潰していく**。本記事は、ネットワーク層（OSI の L2〜L4、≒[TCP/IP の4階層](/blog/tcp-ip-protocol-suite-fundamentals-complete-guide)の Link/Internet/Transport）の攻撃手法を、[NIST SP 800-115](https://csrc.nist.gov/pubs/sp/800/115/final) と [MITRE ATT&CK](https://attack.mitre.org/) に忠実に地図化し、各攻撃手法を深掘りするスポーク群への入口とするピラー記事です。

これは、[Webアプリ攻撃クラスタ](/blog/web-application-hacking-techniques-methodology-owasp-portswigger-guide)（SQLi/XSS/SSRF など L7 の攻撃）の**下のレイヤー**にあたります。アプリの入力検証をすり抜けるのではなく、**通信そのものに割り込む・なりすます・溢れさせる**——それがネットワーク攻撃です。

> **本クラスタの絶対の前提（先に読んでください）**
> ここで扱う攻撃手法は、すべて**3つの安全地帯**——①自分の資産（自宅ラボの隔離ネットワーク・自分が管理するVM）②CTF ③書面で許可されたスコープ——の中だけで実行します。これは [ホワイトハッカーと法律](/blog/ethical-hacker-law-japan-unauthorized-access-act-active-cyber-defense-disclosure-guide) で定めた一線です。**ネットワーク攻撃は特に危険**で、ARPスプーフィングやスキャンは同一セグメントの第三者の通信を巻き込みえます。職場や公衆 Wi-Fi で試した瞬間、不正アクセス禁止法・電気通信事業法（通信の秘密）に触れる可能性があります。手を動かす環境は [自宅の合法ラボ](/blog/ethical-hacking-home-lab-kali-juice-shop-ctf-self-study-roadmap-guide)（隔離された仮想ネットワーク内の2〜3台のVM）を前提に進めます。

---

## 1. 診断方法論 — NIST SP 800-115 の4フェーズ

プロのネットワーク診断は、毎回同じ「型」で回します。[NIST SP 800-115](https://csrc.nist.gov/pubs/sp/800/115/final)（Technical Guide to Information Security Testing and Assessment）は、これを4フェーズに整理しています。

| フェーズ | やること | 主なツール | 本クラスタの該当記事 |
|---|---|---|---|
| **① 計画（Planning）** | スコープ・規約・**書面の許可**を確定。やらないことを決める | 契約・RoE | 法律と倫理（前提） |
| **② 発見（Discovery）** | ホスト発見・ポート/サービス特定・脆弱性マッピング | `nmap`・受動偵察 | [偵察・ポートスキャン](/blog/network-reconnaissance-port-scanning-nmap-service-detection-defense-guide) |
| **③ 攻撃（Attack）** | 特定した弱点を安全に実証（PoC）。MITM・なりすまし・溢れ | 各専用ツール | ARP/DNS/TCP/SYN の各スポーク |
| **④ 報告（Reporting）** | 再現手順・影響・**RFC準拠の修正案**を記録 | レポート | 各記事の「防御」節 |

最重要は**①計画**です。Webアプリ診断以上に、ネットワーク診断は「向ける先」を1つ間違えるだけで第三者の通信に被害が及びます。**スコープの境界（どのセグメント・どのIPレンジ・どの時間帯）を書面で固める**ことが、技術以前のプロの条件です。

> MITRE ATT&CK の用語では、本クラスタは主に **Reconnaissance（[TA0043](https://attack.mitre.org/tactics/TA0043/)）／ Lateral Movement（[TA0008](https://attack.mitre.org/tactics/TA0008/)）／ Collection** の戦術に対応します。「攻撃者が次に何をするか」を戦術単位で予測できると、防御の優先順位がつきます。

---

## 2. 攻撃クラスの地図 — OSI 下位層で捉える

ネットワーク攻撃は、[TCP/IP の各層](/blog/tcp-ip-protocol-suite-fundamentals-complete-guide)が「下の層を信頼してしまう」性質を突きます。層ごとに整理します。

### 2.1 L2（データリンク層）— 同一セグメントの信頼を突く

同じLAN内では、ホストは「ARPの応答を無条件に信じる」など、牧歌的な前提で動きます。

- **[ARPスプーフィング / 中間者攻撃（MITM）](/blog/arp-spoofing-mitm-attack-detection-defense-guide)** — 「このIPのMACは私だ」と偽り、通信を自分経由に捻じ曲げる。**L2攻撃の王様**。
- MACフラッディング / VLANホッピング / DHCPスプーフィング。

### 2.2 L3（ネットワーク層）— 送信元を偽る

- **[IPスプーフィング](/blog/tcp-session-hijacking-rst-injection-ip-spoofing-defense-guide)** — 送信元IPを詐称する。DDoSの反射・増幅や、信頼ベースの認可回避に使われる。
- ICMP リダイレクト / Smurf（反射）。

### 2.3 L4（トランスポート層）— TCP/UDP の仕様を突く

- **[ポートスキャン・サービス偵察](/blog/network-reconnaissance-port-scanning-nmap-service-detection-defense-guide)** — どのポートが開き、何が動いているかを暴く。すべての攻撃の起点。
- **[TCPセッションハイジャック / RSTインジェクション](/blog/tcp-session-hijacking-rst-injection-ip-spoofing-defense-guide)** — 確立済みのTCP接続に割り込む・切断する。シーケンス番号が鍵。
- **[SYNフラッド（DoS）](/blog/syn-flood-ddos-attack-defense-syn-cookies-guide)** — ハンドシェイクの半開状態でリソースを枯渇させる。**本クラスタでは防御中心に扱う**。

### 2.4 層を横断する攻撃

- **[DNSスプーフィング / キャッシュポイズニング](/blog/dns-spoofing-cache-poisoning-dnssec-defense-guide)** — 名前解決を乗っ取り、正しいドメインを偽サーバーへ向ける。
- **[パケット盗聴（Sniffing）](/blog/packet-sniffing-wireshark-tls-encryption-defense-guide)** — 平文通信を傍受する。MITM の成果を「読む」フェーズ。

---

## 3. なぜネットワーク攻撃は成立するのか — 3つの根本原因

個別の手法に入る前に、**すべての攻撃に共通する根本原因**を押さえます。これが分かると、防御が「個別対症」ではなく「構造」で打てます。

1. **認証の欠如**：ARP・初期のDNS・IP には送信元を検証する仕組みがない。「言った者勝ち」。
   → **防御**：暗号学的に検証する（DNSSEC・IPsec・802.1X・TLS）。
2. **平文**：暗号化されない通信は、経路上の誰でも読める・書ける。
   → **防御**：**すべてを暗号化**（TLS everywhere）。盗聴・改ざんを無意味化する。
3. **過剰な信頼境界**：「社内LANは安全」という前提が、1台の侵害で総崩れになる。
   → **防御**：**ゼロトラスト**。ネットワーク位置を信頼の根拠にしない。

> この3つは、本クラスタの各スポークで繰り返し登場します。**攻撃手法は多様でも、効く防御は驚くほど少数の原則に収束する**——これがネットワークセキュリティの希望です。

---

## 4. ラボの作り方 — 安全に手を動かす最小構成

合法に練習するには、**外と完全に隔離した仮想ネットワーク**を作ります。[自宅ラボ記事](/blog/ethical-hacking-home-lab-kali-juice-shop-ctf-self-study-roadmap-guide)の発展形として、L2攻撃を試せる最小構成を示します。

```text
   [ ホスト OS ] ── VirtualBox / UTM の「内部ネットワーク（intnet）」※外部と遮断
        │
   ┌────┴───────────────┬───────────────────┐
   │                    │                   │
[ Kali (攻撃) ]   [ Victim VM (被害) ]   [ Gateway VM (ルータ役) ]
 10.10.10.5         10.10.10.10            10.10.10.1
```

ポイントは**「内部ネットワーク」モード**（NATでもブリッジでもない）。これにより、ARPスプーフィングやスキャンが**自分の3台のVMの中だけ**に閉じ、家庭内LANや会社・公衆網に一切漏れません。**この隔離こそが、合法と違法を分ける物理的な壁**です。

```bash
# ラボ内（自分のVM間）での疎通確認だけは最初にやってよい
# ※これは「自分の資産」内なので合法。外部IPには絶対に向けない
ping -c 1 10.10.10.10        # Victim VM が同一セグメントにいるか
ip neigh                     # 自分のARPテーブル（誰のMACを学習済みか）
```

---

## 5. 各スポークの歩き方 — 攻めと守りを必ず対で

本クラスタの各記事は、**「攻撃の仕組み → 検知 → RFC準拠の防御」**を必ず1セットで扱います。読む順番の推奨は次の通りです。

1. **[偵察・ポートスキャン（nmap）](/blog/network-reconnaissance-port-scanning-nmap-service-detection-defense-guide)** — まず「見える化」。すべての起点。防御は最小公開・IDS。
2. **[ARPスプーフィング / MITM](/blog/arp-spoofing-mitm-attack-detection-defense-guide)** — 経路に割り込む。防御は Dynamic ARP Inspection・802.1X・TLS。
3. **[DNSスプーフィング / キャッシュポイズニング](/blog/dns-spoofing-cache-poisoning-dnssec-defense-guide)** — 名前解決を乗っ取る。防御は DNSSEC・送信元ポートランダム化（RFC 5452）。
4. **[TCPセッションハイジャック / RSTインジェクション / IPスプーフィング](/blog/tcp-session-hijacking-rst-injection-ip-spoofing-defense-guide)** — 接続を奪う・切る。防御は RFC 5961・ISNランダム化・BCP 38。
5. **[SYNフラッド / DDoS](/blog/syn-flood-ddos-attack-defense-syn-cookies-guide)** — 溢れさせる。防御は SYN cookies（RFC 4987）・レート制限・クラウドDDoS防御。
6. **[パケット盗聴 / Wireshark / 暗号化](/blog/packet-sniffing-wireshark-tls-encryption-defense-guide)** — 読む。防御は TLS everywhere・可視性の運用。

---

## 6. まとめ — ネットワーク診断者の心得

- **方法論が先、ツールは後**：NIST SP 800-115 の4フェーズで攻撃面を体系的に潰す。`nmap` は方法論に従属する道具にすぎない。
- **層で攻撃を捉える**：L2（ARP）・L3（IP）・L4（TCP/UDP）・横断（DNS/盗聴）。各層は「下を信頼する」性質を突かれる。
- **根本原因は3つ**：認証の欠如・平文・過剰な信頼境界。だから防御は暗号化・検証・ゼロトラストに収束する。
- **合法の壁は物理的に作る**：隔離された内部ネットワークのVMラボ。スコープの境界は書面で固める。
- **攻めの理解は守りの設計**：各手法を「どう刺さるか」と「どうRFC準拠で潰すか」で必ず対にする。

ネットワーク攻撃を理解した者だけが、**設計段階で「どこが破れるか」を先回りで潰せます**。次章からは、偵察（ポートスキャン）を皮切りに、各攻撃と防御を一つずつ深掘りします。

---

私（友田 陽大）は、AWS マルチアカウント環境で多層ネットワーク（[API Gateway→NLB→ALB→ECS の構成](/case-studies/lumber-industry-dx)、VPC 設計、最小権限 IAM、GuardDuty 脅威検知、WAF 多層防御）を設計・実装してきました。攻撃の手筋を知る視点で、御社のネットワーク／インフラの攻撃面を洗い出し、RFC 準拠の防御（セグメンテーション・暗号化・検知）まで設計・実装します。**「自社の境界はどこが破れるのか」を、攻撃者の視点で診断したい**——そんなときはお気軽にご相談ください。