皆さんは、コードレス電話の会話が簡単に傍受できることをご存知ですか?私は盗聴器調査のために広帯域受信機を持っているのですが、周波数をコードレス電話の帯域に合わせるだけで、およそ半径50m内の会話がポンポン飛び込んできます。これはコードレス電話の電波が一般の無線機同様のアナログ電波であるためです。
数年前までは携帯電話もアナログでした。最近は全てデジタル化されているため傍受しても何も聞こえませんが、コードレス電話は一部のデジタルコードレスを除いていまだに傍受が可能です。自分の会話がよもや他人に聞かれているなんて思いもしないから、皆さんそれはそれは無防備な会話をしておられます。今のところ恐ろしい犯罪に関わる会話は聞いたことはありませんが、聞いたら聞いたで困ったことになりそうです。何故なら、コードレス電話を傍受するだけなら罪に問われることはありませんが、その内容を他人に話してしまった場合には違法行為になるからです。だから警察は通信傍受法というものを作ってまで電話の盗聴をしなければならないのです。
何故こんな話しをしたかと言うと、実はこれと同じような通信傍受が、LANにおいても可能なのです。そしてその方法は主にパケットモニタリングとキーストロークレコードです。
1.有線LANの通信傍受
ネットワークを流れるデータは、すべてパケット(小包)と呼ばれる小さなデータに分割されて送信されますが、スニッファと呼ばれるモニタリングツールを使うことにより、LANを流れるすべてのパケットを収集することが出来ます。もちろんパケットモニタリングを行うためにはいつくかの条件が必要ですが、条件さえ揃えばもはや何でもありです。会社のパソコンで私用メールをしていたら、その内容はもちろんのことIDとパスワードまで知られてしまいますし、こっそりとアダルトサイトなどを見ていてもバレバレです。本来こうしたパケットモニタリングはネットワークの状態監視や社員の不正監視など、正当な職務上の権限において実行されるもので、ソフトウェアもかなり高額なものを使用しますが、最近はネットから自由にダウンロードできる格安のスニッファもあるため、一部の不心得者が悪用目的で利用することも十分に考えられます。
実は私、数年前に某大手出版社の社内LANで、その格安スニッファの実力を試したことがあります。もちろん勝手にやったわけではなく、そこの雑誌の特集記事でパケット盗聴の脅威を検証するということで、編集部に頼まれてやったのです。ところが、私が持参したノートPCを編集部のハブに接続してキャプチャを開始すると、あろうことか出版社全フロアの端末をマウントし始めたのです。これにはさすがに私も編集長もビックリして途中で停止しました。それでもすでに50台くらいのパソコンのパケットは拾っていたでしょうか。でもこの日ひそかにこんな実験が行われているとは数名を除いて誰も知らなかったので、みなさん普通にメールやウェブを利用しています。そういうわけで、まさか勝手に他人の通信を覗くわけにも行かないので編集部のテストマシンで検証を行いましたが、すべての通 信内容が丸見えです。一同驚きで声も出ません。でも最後に編集長がボソッとひと言。「このソフト、どこで手に入ります?」(危なー)
パケットモニタリングツール「Network vigil」
ちなみにこうしたパケットモニタリングが可能な範囲は、リピータハブで接続されたセグメント内部に限ります。言い換えれば、スイッチングハブで構成されているLANであればパケットが傍受されることはありません。(下図参照)
- (左)スイッチングハブならパケットの宛先はハブによって制御されAにしか送られない。
- (右)リピータハブではパケットはブロードキャストされるため、Cまでが受信してしまう。
また、誰かがパケットモニタリングを行っていないかは、プロミスキャスモードで動作するNIC(ネットワークインターフェースカード)を検出することで確認可能で、その原理を応用した検出ソフトも無料で配布されています。
「Promiscan」ARPパケットを使用してpromiscous modeのNICを検出するソフト。
配布元:セキュリティフライデー
http://www.securityfriday.com
2.無線LANの通信傍受
有線LANと同様に無線LANにもパケットスニッファがいくつか存在します。しかも有線LANと違って、電波さえキャッチできれば外からでも傍受が可能です。もちろんこうし危険を考慮して、無線の場合にはWEPキーによるデータの暗号化が施されていますが、これもAirSnortなどで解除可能といわれており、過信は禁物です。
AirSnort
http://airsnort.shmoo.com/
さらに無線LANの場合は、パケットが傍受されるだけでなく外部からLANに侵入される可能性があることを忘れてはなりません。巷には、無線LANのアクセスポイントを検出するためのソフトが出回っており、そのソフトを起動した状態で街中を歩いているといくつものアクセスポイントを発見することができ、パスワードをかけていないアクセスポイントならばそのまま侵入することも可能です。現にこの方法を使って他人の自宅の無線LANからオークション詐欺を行っていた実例があります。この方法だと、警察が捜査しても辿り着くのは何も知らない無線LANの契約者までということになります。ご自分の無線LANが犯罪に利用されないように気をつけてくださいね。
無線LAN用のパケットスニッファ「AIROPEEK」
http://www.dit.co.jp/product/network/peek_series/
3.メール盗聴を見抜く
パケットモニタリングによって、正当な理由なく他人のメールの内容を盗み見ることはプライバシー侵害になりますし、手に入れたIDパスワードを使って勝手にメールを受信する行為は不正アクセス禁止法違反となります。でも問題は、本人がメールを見られていることに気づきにくいと言う点です。何故なら他人のパスワードを入手してメールを盗み見ようとする場合、そのことを本人に気づかれぬように、受信したメッセージはサーバに残すように設定しておくからです。そこでこうしたメールの盗聴が行われていないかどうかを簡単に確認する方法を説明します。それは受信メッセージの詳細ヘッダにあります。
皆さんの中にも、POP3のメールボックスに受信したメッセージを会社と自宅の両方でダウンロードする為に、「受信したメッセージをサーバに残す」という設定をしている人も多いのではないですか?この場合、一度受信したメッセージを別のパソコンから再受信すると、詳細ヘッダの最下段のフィールドに「status」というコードが記述されます。この仕組みを利用することで、誰かが勝手にメールを受信しているかどうかを確認することが可能となります。詳細ヘッダの表示方法はメールクライアントにより異なりますが、Windows標準のOutlook Expressであれば、プロパティを表示させ、詳細タブを見ることによって確認が可能です。
●詳細ヘッダの一例
Date: 28 Feb 2002 07:00:00 +0900
From: 首相官邸 <koizumi@mmz.kantei.go.jp>
Subject: 【小泉内閣メールマガジン 第36号 2002/02/28】
To: koizumi-ml-user@mmz.kantei.go.jp
Message-Id: <20020227220000.4463.qmail@msgs1.mmz.kantei.go.jp> Precedence: bulk
Status: R0
このヘッダの一番下の行に注目してください。最初にメッセージを受信した場合は何もつきませんが、一度受信したメッセージを再受信した場合には「Status:R」または「Status:R0」がつきます。自分では初めて受信したはずのメッセージにこのコードが記述されていれば、盗聴されている可能性があります。その場合は、即時パスワードを変更するようにしましょう。ちなみに「Status:U」がつくこともありますが、これはリモートメールなどにより受信した場合や、プロバイダによって全ての受信メッセージに付加するよう設定しているところもありますので、必ずしも盗聴されているとは言えません。
4.ネットバンキングやオンラインカード決済の注意点
今年の3月に、キーロガーというソフトを悪用して他人の銀行口座から1600万円を盗み出す事件がありました。その手口は大胆です。犯人はあらかじめ複数のネットカフェのパソコンにキーロガーと呼ばれるキーボード入力を記録するソフトを仕掛けておきます。頃合を見計らってログファイルを回収に行くと、膨大な量のキータイピングの記録が集まります。その中からネットバンキングのURLを探し出し、ログイン時にタイプしたIDとパスワードを入手します。後はその人に成りすましてログインし、自分が用意した架空口座に全額を振込んだというわけです。 パケットモニタリングとどう違うの?と思われるかもしれませんが、通常ネットバンキングのログインはSSLで暗号化されていますので、単にパケットを拾うだけではIDとパスワードが知られることはありません。しかしキーロガーは、キーボードの入力そのものを記録しますので、通信が暗号化されるかどうかは関係ないのです。 従ってネット通販の注文フォームにカード番号を入力する行為も同様の危険性を伴います。
●安全なネットバンキングとは?
1:本人認証が厳格な銀行を選ぶ
いくつかのインターネットバンキングでは、利用者に契約者カードを発行しています。このカードには、ランダムな数字が複数書かれた表が記載されており、しかもその数字の配置はカードごとに異なっており、これがワンタイムパスワードの役目を果たしています。つまりログインの際には、IDとパスワードで一次認証を行い、続いて契約者カードの指定のマス目に記載された番号の入力を要求されます。この時、どのマス目の番号を要求されるかは、ログインのたびに変わるので予測できません。これにより仮にキーロガーによってパスワードが知られてしまっても、カードがない限りは二次認証を通過することができず、不正ログインが極めてしにくいようになっています。従って、このカードの取り扱いには十分注意する必要があります。もっとも、銀行によっては二重認証システムを採用しておらず、単にIDとパスワードだけでログインできるところもあり、前例の事件の銀行はそのパタンのものでした。
2:振り込み限度額を必要最小限に
万が一にも他人に不正ログインされるようなことがあると、前述のとおり、口座から全額が犯人が用意した架空口座へ振り込まれてしまう結果となります。しかし、インターネットバンキングでは、こうした時の被害を最小限に抑えるために、あらかじめ登録した指定口座以外への一日あたりの取引限度額を書面にて設定できるようになっています。従って、家賃の振込み先などの指定口座以外への振り込み限度額を十万円程度に設定しておけば、それ以上の金額が一気に盗まれることは避けられるでしょう。
まとめ
もともとLANというのは身内同士の安全でクローズドなネットワークだと言う考えがあるため、市販のファイアウォールソフトでもLAN内部から来るパケットのフィルタリングはほとんど設定されていないものです。しかし職場や学校はともかく、ネットカフェ、ビジネスホテル、インターネット対応型マンション・・・、これらも全てLANです。中でも特に、不特定多数が自由に出入り可能なネットカフェは、ある意味で最も危険な環境だと考えておき、IDやパスワードを入力するような通 信はしないことですね。
PAGE END