現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21) 「パケットには真実がある − パケットモニタリング系ツール」 | ScanNetSecurity
2021.06.20(日)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21) 「パケットには真実がある − パケットモニタリング系ツール」

このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。 今回から、何回かにわたって、tcpdumpや、Wiresharkなどに代表される、ネットワーク内を流れる通信情報を取得する、パケットモニタリング

特集 特集
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
今回から、何回かにわたって、tcpdumpや、Wiresharkなどに代表される、ネットワーク内を流れる通信情報を取得する、パケットモニタリング系ツールを集中して取り上げます。

(1) パケットモニタリング系ツールとは

パケットモニタリングとは、ネットワーク内を流れるTCP/IPに代表される通信情報を取得することである。

NIC(Network Interface Card)は、通常モードでは、自分宛以外の通信は、自身に到達しても破棄するという動作を行うが、プロミスキャスモード(無差別モード)というモードにすることで自分宛ではない通信も含め、自身に到達した通信すべてを受信することが可能である。

このモードを利用し、通信を取得するツールがパケットモニタリング系ツールである。パケットモニタリング系ツールは、パケットキャプチャーツール、パケット盗聴ツール、パケットアナライザー、スニッファーなどと呼称される場合があるが、今回からの記事では、便宜上、パケットモニタリング系ツールとする。

(2) その重要性

ペネトレーションテストと一言にいっても様々な手法があり、シチュエーションもある。皆さんが、ペネトレーションテストと聞いて、真っ先に連想するイメージは、やはり、ネットワーク経由からの擬似攻撃による検査を行い、検査対象のコンピュータ(サーバ、クライアント、ネットワーク機器など)に対して、侵入、情報の窃取、サービス拒否など、どの程度の被害を与えることができるのかということを測るといったものではないだろうか。そのイメージは、ほぼ、正解といってもいいだろう。

前述したとおり、ペネトレーションテストというのは様々な手法があるため、すべてがネットワーク経由で行われるわけではないが、9割以上は、ネットワーク上でなんからの通信を行っていると思っていただいて問題ない。今まで紹介してきたツールの殆どは、ネットワークを使用しているツールである。

少し余談ではあるが、インシデントレスポンスにおいてもパケットは非常に重要である。ソースアドレスなどの偽装ということは技術的に可能であるが、そこに通信が発生したいたという痕跡は必ず存在する。侵入などによって汚染されたコンピュータは、様々なファイルが改ざんされ、プロセスが隠ぺいされているなど、殆どが信用できないものである。しかし、汚染されているコンピュータへのパケット、汚染されているコンピュータからのパケットは、なんらかの意味を持っている。

すべてのパケットには、意味があり、そこには真実が存在する。

つまるところ、メールやWeb閲覧から、ペネトレーションテスト、ネットワーク調査、ネットワークを使う以上、私たちは、日常的にパケットのお世話になっているのである。パケットに始まり、パケットに終わるといっても過言ではないだろう。代表的パケットモニタリング系ツールとして下記を挙げておこう。

・tcpdump
http://www.tcpdump.org/
・Wireshark
http://www.wireshark.org/
・Snort
http://www.snort.org/
・Cain&Abel
http://www.oxid.it/cain.html

(3) 応用−パケットから見えてくるもの

値を設定し、ボタンをクリック。
コマンドを入力し、実行。
そして、結果を得る。

日常的に繰り返し行っているオペレーションだろう。

ユーザは、入出力からは、殆どパケットを意識することはないが、裏側では、確実にパケットが何かしらの働きをしてくれている。これは善意のユーザも悪意のあるユーザもである。

つまり、ネットワークを使用するツールのパケットを覗き見ることで…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  7. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

    イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

ランキングをもっと見る