ネットワークスニファ(VIGILなど)の使用を検出できますか？

社内LANのにわか管理者をしている者です。
弊社のWEB利用状況の把握のためVIGILを利用しておりますが、全社のメール内容なども見えてしまうので使用は私独りに限定しております。
一方、こういったソフトを社員側も使おうと思えばできるわけで、こっそり誰かが立ち上げていないか心配になってきました。

他のPCにてVIGILなどのスニファが立ち上げられているというような情報を検出できる方法などありますでしょうか？

No.2 ベストアンサー 回答者： noname#14035 回答日時： 2004/02/13 19:13

こんばんは。

ご要望の内容を一部実現するツールは存在します。（文末にリンクを貼り付けておきます。）

しかし、本質を理解していただくためにも、少し回りくどい説明をさせてください。

同じEthernetでも、いわゆる「バカハブ」環境では、ご心配のように盗聴は非常に容易です。

NICを「プロミスキャス・モード」（通常は破棄される他人向けのパケットを含め全て受信させる状態）にする（Sniffer等のツールを使う）ことで、実現できてしまいます。

次に、一昔前までは盗聴対策として高い効果を発揮するといわれていた「スイッチング・ハブの利用」も、すでに安全とはいえなくなっているのが現状です。

Ethernetでは、各NICが宣言した「MACアドレス」と「IPアドレス」を一対一で関連付けることで通信相手の特定を行う”Arp”(Address Resolution Protocol)という仕組み（プロトコル）が使われていますね。

上記の環境では、スイッチング・ハブ（スイッチ）がLAN内のArpに関する情報リスト（Arpテーブル）を持っていて、通信を特定のポートにしか中継しないというのが「スイッチング・ハブ環境では盗聴が難しい。」とされてきた根拠です。

しかし、Arpの仕組みにはセキュリティー上の欠陥となりうる特徴があります。

それは、「新しいArpエントリ（NICからの宣言）を受信したら、それを信用しArpテーブルを書き換える。」というものです。（この機能自体はネットワークを正常に機能させるためには有用です。）

これは、もしもLAN内のある盗聴ノードのNICから「IPアドレス○○（盗聴したい相手のIPアドレス）に対応するMACアドレスは□□（自分のNICのMACアドレス）だ。」という宣言がなされると、スイッチはそれを信じてパケットを中継してしまう事を意味します。

こうしてスイッチング・ハブの環境でも盗聴が可能になってしまい、これを実現するツールも出現しています。（ツール自体の情報は書き込みの主旨に反するので書きません。）

ということで、「Ethernetでは盗聴があり得る。」ということを認識しておくべきだと思います。

さて、問題の「盗聴ノードの発見手法」の一つに、「プロミスキャス・モードのNICを発見する。」というものがあります。

具体的には調査対象のNICに対してArpパケットを送信してみて、その反応でそのNICのモードを判定するということです。

通常の（無罪の）クライアント上ではありえないはずのプロミスキャス・モードであれば、「あやしい！」となるわけです。

この仕組みを利用して盗聴ノードを発見するツールの情報に文末のURLからアクセスできます。（フリーで使えるものは英語版のみですが、ある程度のネットワーク知識があれば直感的にいけるでしょう。）

加えて、識者が集う他の掲示板で過去にやり取りされた関連情報（私の書き込みもあります。）のスレッドのURLも貼り付けてありますので、覗いてみると良いでしょう。

さて、長々と理屈を並べてきましたが、「盗聴ノードの発見」に力を注ぐというのは実務上あまり効果的でない場合が多いと思います。（もちろん、ある程度の監視は必須ですが。）

#1のmarimo_cxさんがおっしゃるように、まずは「覗かれると困るものを暗号化などでしっかり秘匿する。」という事のほうがはるかに重要だと思います。

盗聴に関する問題では、参考スレッドにもある「無線LAN」にかかわるリスクなどもありますし、「盗聴は起こりうる。」ということを前提として管理をするべきだということです。

ネットワーク（セキュリティー）管理については、他にも注意すべきポイントは多々ありますし、もはや小手先の対策ではカバーしきれないのが現実だと思います。（「片手間に…」という体制では厳しいですね…。）

全体的な計画の中で必要な部分をアウト・ソーシングするというのが現実的な手段になってきている気がします。

自社の担当者のやるべき事は、「経済的な効果を説得材料に計画をつくり、予算をとって実行する。」となる組織も多いと思います。（それが無理なら、自社の担当者が猛勉強するしかないですしね。）

ボロボロになる前に有効なネットワーク管理が実現するようお祈りしています。

それでは。

■@IT掲示板スレッド■　Copyright(c) 2000-2004 atmarkIT
↓
＜盗聴ノード発見について＞
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.ph …

＜無線LAN環境での盗聴の話＞
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.ph …

■Security Friday提供　盗聴ノード発見ツール■　
↓
＜PromiScan　英語版フリー・ツール＞
http://www.securityfriday.com/ToolDownload/Promi …

＜PromiScan ver3.0 日本語機能拡張製品版＞
http://www.securityfriday.com/jp/contents/promis …

この回答へのお礼

やはりそんなツールがありましたか！

それで、早速使用してみました。フリーソフトですが、使い勝手もよく、非常に感動しました。
また、情報管理への貴重なご提案も感謝いたします。

多くの企業が、時流に促されて「とりあえず」ITをそれなりに利用してはいるものの、セキュリティポリシーがどうも伴っていないという現状は実感しております。

重ね重ねご丁寧な回答、ありがとうございました。

お礼日時：2004/02/16 10:15

No.4 回答者： marimo_cx 回答日時： 2004/02/13 21:59

# 私も意図的に省略してたり。

（＾＾ゞ

arpで細工した場合、防御側はそれを検出しちゃえばいいとか、まぁ考えれば色々上がある訳で。
運用する人間のマインドが問題になるわけです。
（ということで、以下使用者のリテラシー教育問題へと続く…）

No.3 回答者： noname#14035 回答日時： 2004/02/13 21:26

#2のJzamraiです。

前回の書き込みの中に、不正確な表現がある事に気が付いたので、補足説明させてください。

>>上記の環境では、スイッチング・ハブ（スイッチ）がLAN内のArpに関する情報リスト（Arpテーブル）を持っていて、通信を特定のポートにしか中継しないというのが「スイッチング・ハブ環境では盗聴が難しい。」とされてきた根拠です。>>
↓
この説明では、スイッチング・ハブのみが経路（Arp）情報を持っていて、これを汚染する事により、通信のハイジャックを行うという風に感じられますが、これは正確ではありません。

正確な表現は、「スイッチング・ハブ環境でも、Ethernetにある全てのノードのNICがArpテーブル（あて先情報リスト）をキャッシュとして持ち、これを参照している事を利用して、盗聴されるノードのNICに対して偽のArpパケット（情報）を送る（ブロードキャスト）ことで盗聴が可能になる。」とでも言うべきでした。

前回説明したように、Arpプロトコルの実装では、新しい情報が宣言されればそれを信じて情報を更新しますので、偽のあて先情報を信じ込んだNICから送信されたパケットを、スイッチングハブも信じ込んで盗聴ノードに転送してしまうということです。

いずれにしても、Arp情報を書き換える（Arp汚染を行う）ことでスイッチング・ハブ環境でも盗聴が可能であるという主旨に変わりはありません。

不正確な説明で話をややこしくしてしまい、すみません。

内容は確かですが、気持ち的に今回は「自信なし」で…。

それでは。

No.1 回答者： marimo_cx 回答日時： 2004/02/13 16:55

安直には全部スイッチングハブにすればとりあえずはGWでしか監視は出来ないのではないでしょうか？ブロードキャスト以外のパケットは余計な所には流れないはずですので。

次に安直に思い浮かぶのは社内でもVPN使っちゃうとか。
PPTPならやって出来なくは無いかと。

ところで社内利用のメールで他人に見られて困るものなんて業務上有り得るのでしょうか？どうせインターネット上も平文で流れているのですから、そういった部分のリテラシー教育こそが重要なのではないかと考えます。
POP3のパスワードだけは他人に見られては困ると思いますので、APOPにすればパスワードだけは暗号化されます、無意味な全部の暗号化をするよりもマシンパワーの浪費はありません。

正直言うと管理者として『修行が足らん！』という印象はちょっと受けますです、hi。

この回答へのお礼

早速ありがとうございました。スイッチングハブまでは思いついたんですが、とりあえずスニファのスニファ的なソフトなんかないかな、と期待した次第で。

修行どころか、片手間で管理者やってます…とほほ…

お礼日時：2004/02/13 17:12