知らぬ間に情報タレ流し!?盗聴被害の恐怖

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

知らぬ間に情報タレ流し!?盗聴被害の恐怖

2009/09/01


 通信が不正な目的と手法で第三者に傍受される情報の「盗聴」。盗聴はネットワークのどこででも起こりうるが、発見は難しく、犯行があったとしてもほとんど発見されないのが特徴だ。インターネット上での盗聴にはVPNが有効な対策として浸透し、社内ネットワークでは通信の宛先を明確に区別することができるスイッチが普及したことから、一般の有線データ通信の盗聴は減少しているはずだ。しかし、最近のIP電話の普及にともない、対策の未熟なSIPへの攻撃が散見されるようになってきた。また無線LANの企業導入が増えているが、セキュリティ対策が十分でないまま利用している例もあるようだ。ここでは、特に今後リスクが高まると思われるSIPと無線LANを中心に、情報の盗聴防止対策について2回シリーズで考えてみよう。

情報の盗聴

#008

詐取したカード情報でカードを偽造!

 昨年8月、米国で盗聴を主な手段とした過去最大規模の個人情報窃盗事件が明らかになった。盗まれたのは同国小売り大手各社の約4000万件に及ぶクレジットカードおよびデビットカード情報だ。その情報はインターネットを介して国際的な犯罪グループに売られたほか、犯行グループは盗んだ情報に基づく偽造カードによってATMから数万ドルの現金を引き出したとされる。
 情報盗聴の手口は、「ウォー・ドライビング」と呼ばれる手口と盗聴ツールを利用するものだった。ウォー・ドライビングとは、無線LAN端末を持って自動車で街中を走りながら、無線LANのアクセスポイントを探す一種の遊びなのだが、セキュリティの弱い無線LAN設定をしている場合は、ESS-IDとパスワードを探り当てられ、接続される場合がある。インターネット接続の不正利用程度で済めば軽微な損失だが、場合によっては社内ネットワークへの不正アクセスや、社内外の通信を盗聴されてしまうこともある。
 犯人は、ウォー・ドライビングで探し当てた小売店の無線LANを経由して、ネットワーク上に盗聴用の不正プログラムをインストールした。そしてそのプログラムが盗聴したクレジットカード番号やパスワードを含む個人情報を手に入れると、東欧と米国で管理するサーバに保管したという。そのデータにより不正な利益を得た犯行グループとされる11人が米国司法省に摘発されたというのがこの事件だ。
 同グループのうち数名はレストランチェーンのPOS端末のネットワークにも不正アクセスを試み、パケット盗聴の手口を使って少なくとも11箇所からクレジットカード番号などの情報を盗聴し、最大5000件、60万ドル以上の被害を出したことで起訴された。



 ウォー・ドライビングは比較的新しい無線LANへの不正アクセスの手口だが、不正アクセス後に行った盗聴の手口は従来からあるパケットスニッフィングのようだ。入手したデータを外部に送信するスパイウェアを仕込み、送信されたデータを解析してクレジットカード番号をはじめとする個人情報を手に入れたというのがこの犯行だろう。無線LANのセキュリティについては後述するが、まずは盗聴の基本的な手法、パケットスニッフィングから紹介していこう。


1

LAN内では容易に行える情報盗聴「パケットスニッフィング」

 パケットスニッフィングとは、ある機器から別の機器への通信パケットを横取りすることだ。このパケットを解析して内容を読み取るのが盗聴である。多くの場合、攻撃者にとって有用な情報、つまりユーザ名とパスワード、メールの内容、クレジットカード情報、住所や電話番号等の個人情報など換金や詐欺などによる金銭的利益が見込める情報が取り出される。
 まずは何らかの方法で標的のネットワークに接続し、ネットワークを流れるパケットを記録(キャプチャ)、次にその内容を解析して意味のある情報を取り出すのが基本だ。パケットのキャプチャを行うツールはスニッフィングツールと呼ばれ、tcpdumpなどのようにOSに備わるものやフリーウェアとして入手可能なものが多数ある。キャプチャされたデータを解析して意味のある内容を取り出すのはLANアナライザの機能だが、こちらにはオープンソースのWireSharkをはじめ、パスワード取得に目的を特化したツールなどがあり、簡単に入手できる。
 Snifferをはじめとする数多くの商用ネットワーク管理ツールも、不正な目的で利用すればそのまま盗聴ツールになってしまう。さらにはネットワークへの侵入からデータのキャプチャ、解析を1枚のCDやDVDで行えるセキュリティ・テスト用のLinuxディストリビューション(Backtrack)のように、様々なクラックツールをとり揃えた簡便な製品も、自由に入手可能だ。こうしたツールを利用することで、通信内容の盗聴は、ある程度の知識があれば容易にできてしまう。

1-1

盗聴端末の仕掛け方

 そうしたツールを搭載した端末を、攻撃者はどのようにネットワークに接続するのか。
 もしも社内有線IPネットワークがリピータハブで構成されているなら、盗聴用端末をハブに接続するだけでいい。リピータハブは単に各PCやサーバからのデータを中継しているだけだ。宛先はイーサネットヘッダにMACアドレスとして書かれているが、すべての通信が接続する端末全部に届けられる。通常は、端末のNICが宛先MACアドレスを見て自分宛であればデータを受信し、そうでなければ廃棄する。しかしほとんどのNICはプロミスキャスモードでの動作設定が可能だ。このモードでは自分宛でないデータも含め、LAN内を行き来するデータのすべてが受信できる。そのデータを記録・保存しておけば、プロトコル解析によって通信内容を再現することができる。
 とはいえ、現在ではリピータハブだけでネットワークを構成している組織はほとんどないだろう。トラフィックが増大した現在ではリピータハブではネットワークの負荷が上がりパフォーマンスが低下してしまうため、リピータハブのかわりにL2スイッチ(スイッチングハブ)が利用されるのが一般的だ。L2スイッチはスイッチ自身でMACアドレスを判別し、宛先MACアドレスの端末が接続しているポートにのみデータを流す。したがって、L2スイッチのポートに盗聴用PCを接続してもそれだけでは盗聴できない。
 そこで行われるのがL2スイッチをリピータハブにこっそり交換してしまうことだ。ときにはネットワークタップと呼ばれる分岐装置や光分岐装置を利用して経路を分岐させたり、ルータやブリッジに似た装置をサーバと端末間に挿入したりして盗聴用端末を接続することも行われる。またL2スイッチには本来はネットワーク管理用のミラーリングポートと呼ばれるモニタポートが備えられているものが多く、そのポートからはすべての通信のコピーを取り出すことができる。これに盗聴用端末を接続すれば簡単だ。

セキュリティ情報局にご登録頂いた方限定で「知らぬ間に情報タレ流し!?盗聴被害の恐怖」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報の盗聴/知らぬ間に情報タレ流し!?盗聴被害の恐怖」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報の盗聴」関連情報をランダムに表示しています。

情報の盗聴」関連の特集


 国内のWEBフィルタ製品(WEBフィルタリング製品)はこれまで、URLフィルタリング機能を中心とし…



信頼性、効率性、安全性の三要素…理解してますか?ネットワーク技術者も必須の「情報セキュリティマネジメ…



指紋や静脈など、本人のみが所有する“究極の個人情報”である生体情報を活用した「バイオメトリクス認証」…


「その他エンドポイントセキュリティ関連」関連の製品

接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】 Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。

「その他エンドポイントセキュリティ関連」関連の特集


各企業のセキュリティ対策予算は? 今回の調査では企業規模によるセキュリティ対策予算の「格差」が浮き彫…



 前回は、情報セキュリティにおけるリスク対策の評価について触れた。今回は、コスト削減と結びつけて考え…



 内部にコンピュータやソフトウェアが組込まれた組込みシステム、組込み機器のネットワーク接続が急激に増…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003164


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ