スイッチングハブを盗聴できるソフトが出回っているんでしょうか？

Question

下の記事にスイッチングハブを盗聴できるようなソフトが出回っているような記述があるんですが、本当でしょうか？
ソフト名や対策など、詳細を教えてください。

http://www.mainichi-msn.co.jp/shakai/wadai/news/20040616k0000e040072000c.html

rx-78gp03 · Accepted Answer

私自身その手の具体的なソフト名は知らない(と言うか記憶が古いので忘れた)のですがその原理は知っています。jzamraiさんが既に書いていらっしゃいますがarpの偽装を行う物です。対策としては完全ではありませんが、ネットワークに接続された全ての機器に静的にarpを定義することです。これが可能かどうかは運用によりますので判断は質問者さんがなさってください。少なくともDHCP環境下では不可能ですし設定可能なL2スイッチも限られてくるでしょうね。
もう一つは偽のRIP情報を流すタイプですね。これについてはRIPを使わない。もしくはRIP情報を受け取る機器を限定する事で対応可能です。

但し、私がこの辺の情報を仕入れたのは多分2000年前後です。今頃の新聞の記事にあるようなソフトがこれらの事かどうかの判断はできません。

bship · Answer

いえ、あなたの組織にスキルある人がいなくても、世界にはゴマンといて、たくさんの公開ソフトをダウンロードして使用することは普通な訳です。そうすると個々のツールに拘ることは無意味です。どうも全回答に否定的な様ですが、おそらく他の回答者の方々もそういう根底があってアドバイスを書いてくれていると思います。
ここであなたの望む具体的なツール名が例えば２つ出てきたとして、その２つだけ使用を禁止すれば解決することなのでしょうか？
そんなに具体的なツールに拘るならば検索等でご自身で調べるしかありませんね。１０や２０では済みませんよ...
記事になるのは技術を知らない記者が書く有名なものだけなのであり、それを禁止したところセキュリティは妄想です。（禁止されていないものはいいのだろうとなりますね）
SoftEtherなんて良い例です。SoftEtherなんてなくたって同じ様なことはできるんですよ...（たしかにSoftEtherに拘る管理者は一時期増えました）
セキュリティを考えたいという動機であればいろんな回答が得られると思いますが、責任を回避したいだけであれば有効な回答が得られるでしょうか.....
と、書いてしまいましたが、これもきっと否定されるのでしょうね...

bship · Answer

この記事についてはセキュリティ業界では、やれやれって感じなんですよ。こんなこと遥か昔から可能であることは常識なのです。スイッチも人の作ったもの、簡単に騙せます。たしか「16日にあきらかになった」なんて書いてありましたが、いかにも事実の裏づけをとっていない記事です。しかもあたかもネットワークの信頼がこれで崩れたかのような結びでしたが、そんなもの最初からないことが一般に正しく理解されていないことを再認識した次第です。
個別のツール名を知ってもだめですよ。ツールはいくらでも作れるものですから。
結局は、ネットワークは誰かに見られていることを前提とし、見られて困るもの、改ざんされてこまるものはVPNや個別の暗号化技術を利用するしかありません。
もちろん盗聴を実現するソフトを監視、発見するということは誤りではありませんし、それはネットワーク監査という観点からして重要なことです。
しかしまずは見られても大丈夫とするのが第一でしょう。
どんなデータが見られてまずいか、その保護のための手段に時間お金といったコストをどれ位かけるべきかから検討する必要があります。

noname#14035 · Answer

こんばんは。

まずは、このサイトのQ&A（過去ログ）検索で”スイッチングハブ””盗聴”という2語で「AND検索」をかけてみてください。

ヒットするもののうち、＜３．「ネットワークスニファ(VIGILなど)の使用を検出できますか？」＞というスレッドに今回のご質問の大部分をカバーするであろう私の過去の書き込みがありますから、まずはそれをお読みになってください。（念のため、URLは　http://www.okweb.ne.jp/kotaeru.php3?q=778464　です。）

さて、これは本題とは大きくそれる内容ですが、
↓
>>セキュリティ関連の情報というのは隠匿するとかえって悪用する人だけが保持してしまうので、広く公開し>>て情報を共有するというのが本来のあり方のはずです。
↓
もちろん、脆弱性などの情報公開は防御する側の進歩のためにも必要なことだと私も思います。

しかし、他の回答者の方が指摘しておられるのはその事を否定されていると言うことではないと思いますよ。

脆弱性そのものの公開は私も積極的に行うべきだと思いますが、スクリプトキディのレベルでも簡単に悪事を実行できてしまう可能性があるため、”具体的な攻撃手法やツール（エクスプロイト）名と入手先の紹介”に関しては、よほど慎重にならなければならないと思います。（これは、このサイトが「不特定多数の閲覧」を前提としているためより強く言える事だと思います。）

これはネットワーク・セキュリティー（界）の暗黙のルール（モラル）となっているはずです。（もちろん一人でも多くの方に正しいセキュリティー情報や知識が伝わるよう、識者は鋭意努力をすべきだと思いますが、今回に関してはそういった話ではないであろうということです。）

私も「その脆弱性に対する防御」のためには「ツールそのものを紹介する必要性は低い」と考えていますし、極力具体的なツール名や入手場所の提示を「この場所では」慎むようにしています。

しかしながら、今回はこういったツールなどに含めた管理者としての情報入手経路を紹介する意味で、文末に海外のセキュリティー関連サイト（当該ツール紹介URLを含む）を記述しておきたいと思います。（この手の日本語文献はまだまだ乏しく、海外発信のものに頼らざるを得ません。）

参考にしていただければ幸いです。

それでは。

＜＜参考URL＞＞
■SecuriTeam.comアーカイブにある当該ツール情報■　Copyright c 1998-2003 Beyond Security Ltd. All rights reserved.
＜Ettercap NG - Switched Network Sniffer＞
↓
http://www.securiteam.com/tools/5JP0H20CUY.html

■＠IT　Security&Trust■　（問題解決の助けとなるであろう＜会議室＞（掲示板）を含め、大変有用だと思います。）
↓
http://www.atmarkit.co.jp/fsecurity/

noname#21649 · Answer

>そういったソフト名を答えること自体が規約に違反するということですか？
解釈の違いでしょう。

＞具体的にどういう意味でしょう？
具体的に書いたつもりですが.どこが具体的内容ではないのでしょうか。

orange_roma · Answer

#3です。

私が書いたのは、リピーターハブでしか
使えないものでなく、スイッチングでも
かなりの情報が見えるから問題なのです。
毎日の記事は、まさにこのツールのことを
書いているのです。
もちろん、間にリピーターハブを入れてやれば
完全に丸見えですけどね。

kanpyou · Answer

簡単に言えば、あなたが思いつく、耳にした事のある機能ぐらいは、わけなく、難なく実行できると考えてください。

＞ソフト名や対策など、詳細を教えてください。
（掲示しない）それはセキュリティという観点からみるとむしろ逆効果のような気がしますし。具体的にどういう意味でしょう？

対策の仕事をなさっていれば、容易に情報入手可能のはずです。いたずらに、情報を撒き散らし、不要な仕事を増やすのは、御免です。

orange_roma · Answer

最初に、ご質問の日本語が変ですので確認しますが、
毎日の記事はスイッチングハブを「盗聴」というのでは
なく「盗み見」と書いてあります。音を聴いても内容は
わからないので、LAN内のデータを「盗み見る」ことが
できるソフトということですね。

今回問題になっているソフトは、スニッフィングツール
というもので、LAN上で流れているデータを監視する目的
で開発されたものです。外部から不正に進入するための、
いわゆるハッキングツールとは違うものです。
ネットワーク管理者が社内LANの情報を覗いて、社員が
仕事中に業務とは無関係なアクセスをしていないか監視
するのが目的で、万一、情報流出の際にも犯人を特定するのにも威力を発揮します。
ソフトはシェアウェアです。
このソフトそのものが問題なのではなく、この手のソフトを一社員が
社内のパソコンに簡単にインストールできる環境の方が問題です。
私は、このソフトの情報が公開された方が、ネットワーク管理に対する関心が
高まって良いと思いますので、あえてURLをお教えします。
なお、大手の会社内では、すでに監視ツールで監視が
行われているケースが多く、リストラの対象となった
社員のアクセスを狙い打ちにするなど、悪用（？）は
日常茶飯事ですよ。

参考URL：http://homepage2.nifty.com/spw/software/vigil/index.html

neKo_deux · Answer

ネットワーク上を流れるデータは全てパケットという単位で送受信されます。
いつ、どこから、どこへ、どういうデータが送られたと言う事を監視するツールは「パケット監視ツール」「パケットモニタ」などと呼ばれます。
ネットワークを使うプログラムの動作確認の試験なんかでも利用されます。

--
ただ、こういうツールで見れるのは、
「123.456.789.10」から「10.9.8.7」に「05 54 c8 f0 …」のデータが送られた。
のような普通に見ても意味の不明瞭な情報です。
記事に書かれていたのは「メール盗み見ソフト」ってくらいですから、この辺をいいカンジにパケットを拾って繋ぎ合わせてくれるようなものでは？

ネットワーク管理者以外がこういったものを使用するのは企業の情報管理、セキュリティ・ポリシーの観点から、望ましくありません。


昔、気になった製品ですと、Raytheon社の「SilentRunner」という製品がありました。
こちらはメールの内容を見るものでなく、トラフィックとしておかしなもの(メールサーバ宛てのパケットが、個人の使用しているメール盗み見ソフトに送られているとか。)を監視するツールみたいです。

ISS，米社のセキュリティ解析ツールをアジアで独占販売
http://itpro.nikkeibp.co.jp/free/NIT/NEWS/20010723/4/

noname#21649 · Answer

多分私が持っているソフトのことでしょう。この手のソフトは無条件で収集していますから。
電気通信事業法と憲法により通信の秘密を保証する義務があります。
従って.goo規約により.具体的に方法はお知らせできません。

スイッチングハブを盗聴できるソフトが出回っているんでしょうか？

私自身その手の具体的なソフト名は知らない(と言うか記憶が古いので忘れた)のですがその原理は知っています。

いえ、あなたの組織にスキルある人がいなくても、世界にはゴマンといて、たくさんの公開ソフトをダウンロードして使用することは普通な訳です。

この記事についてはセキュリティ業界では、やれやれって感じなんですよ。

こんばんは。

>そういったソフト名を答えること自体が規約に違反するということですか？

#3です。

簡単に言えば、あなたが思いつく、耳にした事のある機能ぐらいは、わけなく、難なく実行できると考えてください。

最初に、ご質問の日本語が変ですので確認しますが、

ネットワーク上を流れるデータは全てパケットという単位で送受信されます。

多分私が持っているソフトのことでしょう。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング