PR

 前々回、怪しい通信が飛び交っている話をしましたが、それを読んだ方から「具体的にどう見えるのか、イメージがわかない」という感想をいただきました。たしかに、見える見えると言われても、実物を見ないと実感がわかないかも知れません。
 というわけで、日常的に使っているさまざまなプロトコル(通信手段)のデータを生で見てみましょう。今回も前々回同様、通信データのキャプチャツールである「WireShark」を使いました。

 まずはメールの受信データです。

018-1.jpg

 もちろん、ヤバイところは隠してあります。しかし、はっきりIDとパスワードが見えてますよね。こんな調子で中身を見てしまうことは、ごく簡単だったりします。

 次に、自分のWebページを持っている人(最近は少ないんでしょうかね)が使うFTPの中身です。

018-2.jpg

 バッチリ見えてしまってますね(笑)。しかし、何でこんなに簡単に見えちゃうんでしょうか。…もしかしたらそんな疑問を抱かれるかもしれませんが、そもそもインターネットの基幹となるネットワーク(とその通信手段)は、通信文の中身を見たりするのは良識ある高潔な管理者(笑)に限られていた時代に作られたものです。どうにかして個人情報を盗み出して悪用してやろう、という人々がそこらじゅうにいる現在とは、そもそも状況が大きく異なっているというわけです。

 さて、最後にとある超有名SNSサイトにログインしたときの通信データです。

018-3.jpg

 このデータはちょっと異なる見え方をしていますが、同じWireSharkの画面です。ある種の通信は、いくつかのパケットが組み合わさってやり取りが成立しています。バラバラに見えるいくつかの部品を再構成して見ると、こんな形になるのです。

 どうでしょう? こんなにあっさり見えるものなんだって、ご存じでしたか? セキュリティ界隈では暗号通信以外は見えるものだ、というのが半ば常識なので、われわれは今さら驚きませんが、初めての方は驚かれたかもしれませんね。

 しかし、こうやって「見えてる」からといって、即情報が盗まれるわけではありません。というのも、通信の盗聴行為を行うには、さまざまな条件が必要になるからです。旧式の機器を使ったネットワークであるか、もしくは盗み聞きしたい通信の通り道、あるいはその近くにいる、というのが前提条件になります。この条件はなかなか厳しいですよ。何しろ、今さら旧式の機器をそろえるなんて、その方がむしろ高価ですし、通信経路に近いところにいて盗聴する、ということはつまり、誰かが管理している機器やサーバーに忍び込む必要があるのです。忍び込むということはつまり、基本的にはクラッキングというか、不正アクセスしなければならないわけですね。管理の甘いネットワークならクラックも簡単ですが、忍び込むことが簡単なネットワークと、盗み出したい相手が所属するネットワークが一致するとも限りませんしね。

 もちろん、相手構わずパスワードを収集したい、という悪い人も増えてきています。そういう人たちにとっては、ガードが甘いサーバーなんてのは狙い目でしょうね。SSHをパスワードで使っている、なんてのは特に最近人気が高いようですし(苦笑)。

●余談●その1

SSHというのはセキュアシェル(Secure Shell)のことで、管理者がサーバーをメンテナンスするとき用に作られた暗号通信ツールのことです。暗号通信ですから、当然普通にWireSharkを使っても通信の中身は見えません。だからといって安全かというとそうでもなくて、せっかく通信が暗号化されているのに、ログインするためのパスワードが弱い(見破られやすい、とか推測が容易ということです)なんてことがあったりします。そもそもSSHはパスワードとは別の、パスワードより強い鍵を使ってログインすることができるのですが、安直にパスワードを使っているサーバーが多いため、最近特に狙われているようです。

 相手構わずで良いのならば、実はもうちょっといろいろと細工することができます。
 前々回お話したように、旧式の機器はつながっているコンピュータに通信データをばらまくような形でしたが(前々回はこのことを「行儀が悪いネットワーク」と書きました)、今どきは機器のレベルで相手を選別して送り届けているので、自分あての通信しか届かないようになっています。他人あての通信が届かないとなると、盗み見ることは困難なのですが、方法がないわけではありません。通信相手はわたしである、というように偽装してあげると、愚直な機器はまんまと引っかかってくれて、本来よそに届けなければならない通信文を手元に寄越してくれたりするのです。
 この手を使えばSSL(httpsなど)によって暗号化された通信であっても、第三者が中身を見ることが可能だったりします(苦笑)。

●余談●その2

世界最高レベルのSSLを使っているから安心、と言ってるサイト、多いですよね(苦笑)。問題はその「使い方」なんですけどねえ。

…このように考えてくると、もしかするとネットを経由する通信というのは、全然安心できるものではなく、いつ盗み見られても不思議ではない、ということなのかもしれません。

 利用者の対抗手段としては、おそらく二つ。一つは通信を暗号化することです。
 サンプルでお見せしたメール受信も、サーバーが対応していれば暗号通信にすることが可能です。

018-4.jpg

 FTPも、例えばSCPなどの暗号通信を用いてファイル転送すれば中身を簡単に見られることはなくなります。手元で設定をすれば使える、ツールを変えたら使える、というものであれば、利用者の側でも何とかできそうですよね。

 ただし、暗号通信も場合によっては盗み見されてしまいそうです。また、自分の通信経路上に甘いサーバーがいたりすると、そこを起点に盗み取られてしまうかもしれません。暗号化は確かにハードルを上げてはくれますが、無差別収集IDとパスワードが売れる市場が出来てしまっている昨今では、それだけではちょっと不安です。

 というわけで、パスワードは定期的に変更することが望ましいのです。…またまたパスワードの話に舞い戻ってきてすいませんが(笑)、まあ正直なところ、こういう地道な対策が最も効果があったりするわけです。盗み見られるような状況では、単に見られてしまうだけでなく、そのパスワードを変更されてしまうなんてこともあります。すると、そのサービスを使えなくなるわけですが、使えなくなれば少なくともやられたことに気づきます。気づくことができれば、そのアカウント(ID)を利用停止にするなどの手段で対抗できます。すぐに対処できれば、ほとんど無傷で実害はないこともあるでしょう。問題はパスワードを盗まれたことに気づかず、悪用され続けることです。

 パスワードを変える習慣があれば、悪用に気づいていなかったとしても、一度、悪用されている状態をリセットすることができます。悪い人はそこでもう一回盗聴なり、クラッキングなりの手段を講じて、変更後のパスワードを入手しなければなりません。ひっそり悪用し続けたい人にとっては、何らかのアクションを起こすことはそれだけでリスクだったりするのです。

 決定的な対策であるとは間違っても言えませんが(笑)、そうやって相手のモチベーションを削ぐことができればもうけものというわけです。セキュリティというのは、実はこういう地道なものの積み上げが重要なんだと思っています。