盗聴とは
盗聴はネットワーク上を流れるデータを取得する行為を指す。盗聴の特徴は特に積極的な攻撃行為を行わなくとも、収集できるデータを集めているだけで欲しい情報が得られる可能性がある点にある。
盗聴の種類
盗聴自体は、そのやり方さえわかってしまえば、それほど高度な技術力がなくても可能である。 それだけに確実に基本的な対策を施しておくことが重要である。
スニファ(Sniffer)
ネットワーク上を流れるデータ(パケット)を取得(キャプチャ)して、内容を解読する。プロトコルアナライザと呼ばれる機器(専用機や、PCにインストールして使うタイプがある)はネットワーク管理を行うための分析ツールで、パケットの取得と分析ができる。悪用すれば盗聴になるわけである。
もちろん、流れていないデータは取得できないので、攻撃者は任意の場所にプロトコルアナライザを設置する必要がある。入退室管理や通信の暗号化で対策する。
電波傍受
無線LANをはじめとする無線通信は、電波が届く範囲であれば誰でも受信できるため、常に盗聴のリスクがある。そのため、無線LANの標準的な暗号化方式であるWPA3を使って、暗号化を行う。
ケーブルなどから漏れる微弱な電流を取得して盗聴が行われることもある。これに対しては、ケーブルに電磁波シールドを施すなどの対策が有効である。
キーボードロギング
キーロガーと呼ばれる、キーボードからの入力を蓄積して攻撃者に送信するタイプのマルウェアが用いられる。キーボードを使って、IDやパスワードなどの重要 な情報を入力するとそれがすべて攻撃者に知られてしまう。ウイルス対策ソフト、ソフトウェアキーボード、共有のPCを使わないなどの対策を行う。
DNS キャッシュポイズニング
DNSサーバに保存されている名前解決情報に、偽の情報を記録させ、利用者に意図しないサーバと通信させる方法である。DNSサーバはコンテンツサーバとキャッシュサーバに分類できる。
- コンテンツサーバ (権威サーバ):オリジナルの名前解決情報を持っている
- キャッシュサーバ: 各サイトに置かれ、名前解決情報のコピーを保存する
通常手順
1. DNSクライアント(リゾルバともいう。 わたしたちのPCのこと)が名前解決要求(www.gihyo.co.jp って、IPアドレスで言うと何?) →キャッシュサーバ(知っていればそのまま回答、知らなければgihyo.co.jpにあるであろうコンテンツサーバに問い合わせ)
2. コンテンツサーバ →キャッシュサーバ→DNSクライ アント
このしくみは簡素なため、コンテンツサーバになりすまして偽情報を教えることが比較的容易である。攻撃者はそれを狙う。偽のIPアドレスを教えることで、私たちが技術評論社のサイトだと思ってアクセスすると、悪意のあるサイトへ接続させられてしまうわけである。
名前解決情報にデジタル署名を入れるDNSSECや、DNSサーバが使うポート番号、トランザクションID (通信ID)をランダムにして、攻撃者が推測しにくいようにする。
ディレクトリトラバーサル
管理者が意図していない(アクセスを許すつもりがなかった)ディレクトリに、攻撃者がアクセスを行うための手法の一つである。
例えば、カレントディレクトリ内のファイルだけにアクセスしてもらうつもりで、利用者にファイル名を入力してもらったとして、
../himitsu.jpg (上位ディレクトリにアクセスされた)
./naisho/hazukashi.mpg(下位ディレクトリにアク セスされた)
../doc/hesokuri.doc(別ディレクトリにアクセスされた)
このように書かれると、アクセスを許さないはずだった別ディレクトリにもアクセスされてしまう。..や/などの特殊な意味を持つ記号を他の文字に置き換えるなどして対策する。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント