ネットワークを盗み見るソフトウエア出回る。――アドレス情報を書き換え、スイッチングハブを通り抜ける
盗み見ソフト出回り、対策装置、効果なく と言う記事が。
ん?盗み見ソフトって、パケットインスペクター(パケットキャップチャソフト)*1と違うの? と思ったが、(記事には正確なことは書いていないが)スイッチングハブで、あて先情報を偽装するなどして、データを受け取るらしい。
ちょっと、専門的な言い方をすると……
正確には、ARPといって、通信するときに、物理的にネットワークのカードに降られているMACアドレス(フィジカルアドレスとも言う)と、インターネットのIPアドレスを着き合わせて、照合するためのプロトコルを悪用する。
通常、通信では
- 送り元「IPアドレス192.163.3.2さんはだれですか?」とそこのネットワーク(サブネット)につながっているコンピュータすべてにたずねる(ブロードキャストARP要求)
- 受け取るコンピュータは「あ、このアドレスは自分のだ」と分かると「192.163.3.2は、私、01-23-45-67-89-ab-cd-efです」と、聞いてきたコンピュータに物理アドレスをしらせる。
- 送り元は、その物理アドレスのあて先をつけて、送信する。
- 受信者に届く
と、大雑把に言うとこのような手順を踏んでいる。
しかし、このARP偽装が行われると……
- 送り元「IPアドレス192.163.3.2さんはだれですか?」とそこのネットワーク(サブネット)につながっているコンピュータすべてにたずねる(ブロードキャストARP要求)
- 盗聴者のコンピュータ「お、問い合わせがきたぞ」とみると、自分のアドレスではないのに、「192.163.3.2は、私、fe-dc-ad-98-76-54-32-10です」と、自分の物理アドレスを返してしまう。
- 送り元では、しかしそれに気付かないので、IPアドレス192.163.3.2に送るつもりで、教えられた偽装したアドレスに送信してしまう。
- 盗聴者のコンピュータでは「おし、来たな」とそれを記録しておくとともに、本来の受信者に、まるで送信者が直接送ってきたかのように偽って送信する。
- 受信者に届くが、送られてきたものは一緒なので気付かない。
と、このようなことになる。また、このARP問い合わせたものは、一定時間(Windowsだとデフォルトで5分くらいかな?)記憶されるので、その間はそこに送信され続ける。
これの危険性は
- スパイウエアなど、送信元や受信元など、第三者のコンピュータになにかソフトをインストールするわけではない。
- 盗聴をしていないときはまったく痕跡がネットワーク上に現れない。
ということで、発見しにくいことである。
だけど……じつは、これはもう結構前からずーっと言われていたことであるが、これが表面化してきたのか……毎日新聞の記事は非常に丁寧なもので、おそらくネットワークのことなど知らない人のために作られている記事なのだと思う。だとすれば……そこまで自体は表面化しているということなのか。それとも、簡単にできるツールが出ていると言うことなのだろうか。それこそ、ボタン一つでキャップチャー開始、それを自動的に分析してつなげて読めるようにしてしまう、とかそういう……
(((( ;゜Д゜))) ガクガクブルブル
ちなみに、チェックするのは、ネットワーク管理者がパケットの流れを監視するとか、コマンドプロンプトで「arp -a」とやって、arpテーブルと言うものを表示して、その中に同じIPなのに、同じMACアドレスを名乗っているものがないか、を見る方法があるが……どちらもそのとき、ちょうど盗聴が行われていないと発見できない。(まぁ、ソフトを入れて監視すると言う手も無くはないが)
根本的な対策は、パケットインスペクタをアラート付きで常に動作させておいて(常に自動で監視して)おく……だけじゃうまくいかない可能性もあるので(この場合、スイッチングハブの機能が隠してしまう。上記のような普通のハブ(マルチポートリピータ)か、非常に高価なネットワークを監視する用のポートのあるハブや、専用ハードが必用)、すべての通信を暗号化するのが現実的。
プロバイダの回線まで暗号化するサービスとかあれば売れたりして。最近、プロバイダーからこっちの部分を暗号化したメールサービスとかもなくはないし。
*1:ネットワークで流れてくるデータをすべて取り込んで、分析するためのソフト。本来はネットワーク管理者がネットワークを管理するために使うが、悪用すると盗聴も可能……と言われているが、現在でまわっている「スイッチングハブ」(レイヤ2スイッチ、もしくはマルチポートスイッチ)というものは、データそのものを届かないようにしてしまうので、盗聴にはほとんど使えないし、見るためには管理者が管理する場所に言って、間にハブ(マルチポートリピータ)をはさむか、特殊なキャップチャーポートが付いているスイッチングハブを使わないとできないので、現在ではこれで悪意を持った盗聴が行われる可能性はほぼない(ほぼ、と言うのは無線LANだと……と言う話があるので)