ネットワークを流れるデータ(パケット)を第三者が不正に取得し、内容を盗み見る行為のこと。他のユーザーが送受信したメールの内容や閲覧しているWebページの内容などが狙われる。
有線LANを盗聴する場合、まずLANに盗聴用のパソコンを接続する。LAN構築にスイッチング機能を持たないハブを使っているときは、ハブの全ポートに同じデータが流れているので、ハブに盗聴用パソコンを接続するだけでデータを盗み見ることができる。この場合、盗聴用パソコンで「スニファ」と呼ぶソフトを動作させる。スニファは本来、ネットワーク管理者がトラブルの原因を探るためにネットワークのデータを取得するソフトだが、この機能を悪用して盗聴する。
LAN構築にスイッチング・ハブを使っていると、各ポートごとに異なるデータが流れる。このため盗聴の手順はいくぶん複雑になる。「ARP(アープ)(Address Resolution Protocol)ポイゾニング」と呼ぶ手口を使う。ARPとは、あるIPアドレスを持つ機器のMACアドレス(機器固有のID)を割り出すためのプロトコル。ARPポイゾニングでは、盗聴用パソコンが偽のARP信号をスイッチング・ハブに送り、データを盗み見したいパソコンになりすます。
最近は、あるポートの内容をそのまま別のポート(ミラー・ポート)に出力する機能を持つスイッチング・ハブが多い。このミラー・ポートにも注意したほうがよい。本来はネットワーク管理者の運用/保守を支援する機能だが、盗聴にも悪用できるという問題がある。
盗聴用パソコンがネットワークに接続されているかどうかを検出するソフトもある。代表的な製品はセキュリティフライデーが開発した「PromiScan(プロミスキャン)」。盗聴用パソコンはネットワーク・インタフェースを「プロミスキャス・モード」という特殊なモードで動作させる必要がある。このモードになっているパソコンをARPの挙動を手がかりに探し出すことで、盗聴用パソコンが分かる。
一方、無線LANは有線LANより簡単に盗聴できる。無線LAN機能を持つ盗聴用パソコンを電波の圏内に置くだけで、データを拾い読みできる。これを可能にする無線LAN専用の盗聴ツールが存在する。盗聴できる無線LANを求めて車で移動する「ウォー・ドライビング」という手口もある。
無線LANの盗聴を防ぐには、データの暗号化が必須だ。通常は「WEP(ウェップ)(Wired Equivalent Privacy)」と呼ぶ暗号化方式を使う。ただし、一般的な40ビットの暗号キーはハッキング・ツールを使い、数時間で解読できる。WEPの暗号キーを頻繁に変えるユーザーはあまりいないので、一度解読されるとかえって危険が大きい。より強固な暗号化方式としては、TKIP(ティーキップ)(Temporal Key Integrity Protocol)やAES(Advanced Encryption Standard)がある。
本記事は日経コンピュータ2004年11月1日号に掲載したものです。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。
・日経コンピュータ・ホームページ
・定期購読お申し込みや当該号のご購入
