【図解】なぜIPアドレスを知られてはいけないのか — 実際の攻撃手法から理解する
はじめに
「IPアドレスがバレたらヤバい」とは聞くけど、具体的に何がヤバいのか 説明できますか?
「ハッキングされる」「住所がバレる」——なんとなくそう思っている人が多いですが、実際にはもう少し複雑で、そしてある意味では もっと身近で簡単 です。
この記事では、IPアドレスから何ができるのか・どう攻撃されるのかを、実際の手法と合わせて解説します。
注意: この記事は防御のための知識を提供する目的で書いています。ここで紹介する手法を他者に対して実行することは 不正アクセス禁止法違反 です。
IPアドレスとは(30秒で)
インターネット上の住所 です。あなたのスマホやPCがインターネットに接続する際、通信先に「ここに返事を送ってね」と伝えるための番号。
あなたのPC (203.0.113.42) → Webサーバー (93.184.216.34)
← レスポンスを返す
Webサイトにアクセスするだけで、相手のサーバーにあなたのIPアドレスが伝わります。これはインターネットの仕組み上、避けられません。
グローバルIP vs プライベートIP
| 種類 | 範囲 | 外部から見える | 例 |
|---|---|---|---|
| グローバルIP | インターネット全体で一意 | ✅ | 203.0.113.42 |
| プライベートIP | 家庭内・社内ネットワーク内 | ❌ | 192.168.1.5 |
知られて問題になるのは グローバルIP の方です。プライベートIPは外部からアクセスする手段がないため、単体ではほぼ無害です。
IPアドレスから何がわかるのか
1. おおまかな位置情報
IPアドレスからは、都道府県〜市区町村レベル の位置が特定できます。
これは公開データベース(GeoIPデータベース)で誰でも無料で調べられます。特別なスキルは不要です。
IPアドレス: 203.0.113.42
↓ GeoIPデータベースで検索
国: 日本
地域: 東京都
都市: 渋谷区
ISP: ○○光回線
「番地までバレる」はウソ? 基本的にはウソです。IPアドレスだけでは、せいぜい市区町村レベルまでしか分かりません。ただし後述するように、他の情報と組み合わせるとより詳細な特定が可能になるケースがあります。
2. 使っているISP(プロバイダ)
「NTT東日本」「KDDI」「SoftBank」など、どの回線を使っているかがわかります。
3. 組織情報(会社の場合)
企業の固定IPだと、会社名まで特定 できることがあります。Whois検索で出てきます。
$ whois 203.0.113.42
NetName: EXAMPLE-CORP
OrgName: 株式会社Example
Address: 東京都千代田区...
「会社のWi-Fiから掲示板に書き込んだら会社名バレた」という事故は実際に起きています。
IPアドレスを知られるとできる攻撃
ここからが本題です。IPアドレスを知られただけで何ができるのか、具体的に見ていきます。
攻撃1:ポートスキャン — 家のドアを全部ノックされる
IPアドレスがわかると、そのIPの どのポート(サービス)が開いているか を調べられます。
攻撃者: 「このIPの1番から65535番まで全部ノックしてみよう」
ポート 22 (SSH) → 開いてる ← リモートログインできるかも
ポート 80 (HTTP) → 開いてる ← Webサーバーが動いてる
ポート 3389 (RDP) → 開いてる ← リモートデスクトップ!
ポート 3306 (MySQL) → 開いてる ← データベースが外部に公開されてる!
これを ポートスキャン と呼びます。有名なツール(Nmap)を使えば1コマンドで完了します。
何が危険か: 開いているポートがわかれば、そこで動いているソフトウェアのバージョンも特定できます。そのバージョンに既知の脆弱性があれば、攻撃の糸口になります。
ポート 22 → OpenSSH 7.4 → CVE-2017-15906(既知の脆弱性あり)
現実的なリスク: 一般家庭のルーターはデフォルトでほとんどのポートが閉じているため、ポートスキャンだけで即座に侵入されることは稀です。危険なのは、自分でポートを開けた覚えがある人(ゲームサーバー、NAS、自宅サーバーなど)です。
攻撃2:DDoS攻撃 — 回線をパンクさせる
IPアドレスがわかれば、そこに 大量のデータを送りつけて回線をパンクさせる ことができます。
攻撃者 → 大量のパケット → あなたのIP (203.0.113.42)
↓
回線が飽和してネットが使えなくなる
どれくらい簡単か: 残念ながら、DDoS攻撃は「ストレスサービス」「ブーター」と呼ばれる違法サービスで 数百円から購入 できてしまいます。技術的な知識はほぼ不要です。
被害:
- インターネットに接続できなくなる(数分〜数時間)
- オンラインゲームのプレイ中なら強制切断
- 在宅勤務中なら業務停止
ゲーマーが特にターゲットになりやすい。 ボイスチャットやP2P接続でIPが漏れやすく、対戦相手が腹いせにDDoSするケースが実際に報告されています。
攻撃3:ブルートフォース — ログインを何万回も試す
SSHやRDP(リモートデスクトップ)のポートが開いていると、パスワードを片っ端から試されます。
ssh root@203.0.113.42
パスワード: password → 失敗
パスワード: admin → 失敗
パスワード: 123456 → 失敗
...(辞書攻撃で数千〜数万パターン)
パスワード: Summer2024! → 成功 ← 侵入される
どれくらい現実的か: 自宅サーバーを公開した瞬間、世界中のボットが自動的にSSHポートを叩き始めます。これは誇張ではなく、サーバーのログを見れば数分以内にログイン試行が記録されます。
# 実際のサーバーログ(公開後30分以内)
Failed password for root from 185.xxx.xxx.xxx port 42312
Failed password for admin from 103.xxx.xxx.xxx port 51823
Failed password for root from 91.xxx.xxx.xxx port 38291
攻撃4:脆弱性を突いた侵入
ポートスキャンで見つけたサービスのバージョンに既知の脆弱性があれば、それを利用して侵入されます。
1. ポートスキャンでポート8080が開いていることを発見
2. Apache Struts 2.x が動いていることを特定
3. CVE-2017-5638(リモートコード実行の脆弱性)が該当
4. 公開されている攻撃コードを実行
5. サーバーを完全に制御される
怖い点: 攻撃コード(Exploit)はセキュリティ研究のために公開されていることが多く、コピペで実行できてしまうケースもあります。
攻撃5:中間者攻撃の起点
同じネットワーク内(同じカフェのWi-Fiなど)にいる場合、IPアドレスを起点にして通信を傍受できます。
あなたのPC ←→ 攻撃者のPC ←→ ルーター ←→ インターネット
↑
通信を盗み見している
これを ARP スプーフィング と言います。攻撃者があなたのPCに「ルーターは俺だよ」と嘘をつき、通信を中継しながら内容を盗み見します。
HTTPS通信なら内容は暗号化されていますが、どのサイトにアクセスしたか(SNIやDNSクエリ)は見えます。
「え、こんな簡単に?」と思ったあなたへ
ここまで読んで気づいたかもしれませんが、攻撃の多くは IPアドレスさえ知っていれば試せる ものです。しかも、多くの攻撃は自動化されていて、特定の個人を狙っていなくてもランダムに飛んできます。
難易度まとめ
| 攻撃 | 必要な知識 | コスト | 被害の深刻度 |
|---|---|---|---|
| 位置情報の特定 | ほぼ不要 | 無料 | ★★☆☆☆ |
| ポートスキャン | 低 | 無料 | ★★★☆☆ |
| DDoS攻撃 | ほぼ不要 | 数百円〜 | ★★★☆☆ |
| ブルートフォース | 低〜中 | 無料 | ★★★★☆ |
| 脆弱性攻撃 | 中 | 無料 | ★★★★★ |
| 中間者攻撃 | 中 | 無料 | ★★★★☆ |
位置情報の特定やDDoS攻撃は、技術的な知識がほぼゼロでも実行できてしまうのが現実です。
IPアドレスはどこから漏れるのか
意識せずに漏れるケース
| 場面 | 仕組み |
|---|---|
| Webサイトへのアクセス | サーバーのアクセスログにIPが記録される |
| メールの送信 | メールヘッダにIPが含まれる場合がある(特に古いメールサーバー) |
| 掲示板・SNSへの投稿 | 管理者にはIPが見えている。一部サービスはIP表示 |
| P2P通信 | トレント、一部のオンラインゲームで直接通信 |
意図的に抜かれるケース
| 手法 | 仕組み |
|---|---|
| IPロガー | 短縮URLに見せかけたリンクを踏ませ、IPを記録する |
| 画像ビーコン | メールやチャットに1px画像を埋め込み、開封時にIPを取得 |
| Discord / Skype | 過去にP2P接続でIPが漏れる脆弱性があった |
| ゲームサーバー | P2P型のゲームで対戦相手にIPが見える |
IPロガーの実例
「この動画面白い!」と送られてきたリンクを踏むと:
https://grabify.link/XXXX ← 一見普通の短縮URL
↓
記録される情報:
- IPアドレス: 203.0.113.42
- ブラウザ: Chrome 120
- OS: Windows 11
- 画面解像度: 1920x1080
- 言語: ja-JP
- リファラ: Discord
↓
その後、元のURLにリダイレクトされるので本人は気づかない
見知らぬ人からの短縮URLは踏まない。 これだけで大きなリスクを回避できます。
どう守ればいいのか
1. VPNを使う
最も効果的な対策です。VPNを使うと、通信先に伝わるIPアドレスが VPNサーバーのIP になります。
通常: あなた (203.0.113.42) → Webサイト
→ IPバレる
VPN経由: あなた → VPNサーバー (198.51.100.1) → Webサイト
→ VPNのIPしか見えない
| VPNの選び方 | 重要ポイント |
|---|---|
| ノーログポリシー | 通信ログを保存しない事業者を選ぶ |
| キルスイッチ | VPN切断時に通信を遮断する機能 |
| DNS漏れ防止 | DNSクエリもVPN経由にする |
| 速度 | 日常利用に耐える速度があるか |
無料VPNには要注意。 通信データを広告業者に売って収益化しているケースがあります。VPNの目的は通信を守ることなのに、VPN事業者がデータを売っていたら本末転倒です。
2. ルーターの設定を確認する
✅ UPnPを無効にする(勝手にポートが開くのを防ぐ)
✅ 不要なポート転送を削除する
✅ ルーターのファームウェアを最新にする
✅ 管理画面のパスワードをデフォルトから変更する
UPnP(Universal Plug and Play) は、ゲーム機やアプリが自動でポートを開ける便利機能ですが、マルウェアに悪用されるリスクがあります。必要なポートだけ手動で開ける方が安全です。
3. 不審なリンクを踏まない
- 短縮URL(bit.ly, t.co 等)を見知らぬ人から受け取ったら警戒する
- リンクを踏む前に、プレビューサービスで展開先を確認する
- メールの画像自動読み込みを無効にする
4. 公衆Wi-Fiでは特に注意
✅ 公衆Wi-Fi利用時は必ずVPNを使う
✅ HTTPS接続を確認する(アドレスバーの鍵マーク)
✅ ファイル共有を無効にする
✅ 自動接続をOFFにする(知らないWi-Fiに勝手に繋がない)
5. IPアドレスの変更
どうしてもIPを変えたい場合:
| 方法 | 手順 | 効果 |
|---|---|---|
| ルーター再起動 | 電源を切って数分待つ | 動的IPなら変わることが多い |
| ISPに連絡 | 固定IPの場合は事業者に依頼 | 確実だが時間がかかる |
| モバイル回線切替 | 機内モード ON/OFF | 携帯回線のIPが変わる |
注意: 動的IPでも、ISPによっては長期間同じIPが割り当てられるケースがあります。「ルーター再起動で変わるはず」を過信しないこと。
よくある誤解
「IPがバレたら住所が特定される」→ 半分ウソ
IPアドレス だけ では番地レベルの住所は分かりません。分かるのは市区町村レベルまで。
ただし、IP + SNSの投稿内容 + 写真のExif情報 + その他の断片情報を組み合わせる OSINT(オープンソースインテリジェンス) で、より詳細な特定が可能になるケースはあります。IPは単体では弱いですが、パズルの1ピース として機能します。
「IPがバレたら即ハッキングされる」→ ほぼウソ
一般家庭のルーターはNAT(ネットワークアドレス変換)で内部ネットワークを保護しています。外部からIPアドレスを知っていても、ルーターの内側のPCに直接アクセスするのは簡単ではありません。
ただし:
- ルーター自体の脆弱性を突かれる可能性はある
- ポート転送設定をしていれば、そのポートは外部からアクセスできる
- IoTデバイス(ネットワークカメラ等)がデフォルトパスワードのまま公開されているケースは多い
「自分は狙われるような人じゃないから大丈夫」→ 危険な思考
攻撃の大半は 無差別 です。ボットがIPアドレスを片っ端からスキャンし、脆弱なデバイスを自動で探しています。あなたを狙っているのではなく、脆弱なIPを探している のです。
まとめ
| 事実 | 対策 |
|---|---|
| IPアドレスからおおまかな位置とISPがわかる | VPNで本当のIPを隠す |
| IPがあればポートスキャン → 侵入の糸口になる | 不要なポートを閉じる、ファームウェア更新 |
| DDoS攻撃は数百円で誰でも実行できる | VPN、IP変更、ISPに相談 |
| 短縮URLでIPを簡単に抜かれる | 不審なリンクを踏まない |
| 攻撃の多くは自動化されていて無差別 | 「自分は大丈夫」と思わない |
IPアドレスは「知られたら即終了」ではないけど、「知られていいもの」でもない。最低限の対策(VPN + ルーター設定 + リンクに注意)を取るだけで、リスクは大幅に下がります。