LabEx
ログイン登録

露出したログイン認証情報の特定

WiresharkBeginner
オンラインで実践に進む

はじめに

このチャレンジでは、ネットワークセキュリティスペシャリストとして、社内で発生した潜在的なデータ漏洩を調査します。あなたのタスクは、Wiresharkを使用してネットワークトラフィックを分析し、ユーザーの認証情報が平文(クリアテキスト)で送信されていないかを確認することです。これが機密情報漏洩の原因である可能性があります。

このチャレンジでは、最近のネットワーク通信のパケットキャプチャ(PCAP)ファイルを調査し、露出したログイン認証情報を探し出します。パケット分析技術を適用することで、適切な暗号化なしにユーザー名やパスワードが送信された事例を特定し、認証データを扱う際のセキュアなプロトコルの重要性を明らかにします。

露出したログイン認証情報の特定

あなたの会社で潜在的なデータ漏洩が検知されました。ネットワークセキュリティスペシャリストとして、最近のネットワークトラフィックを分析し、ユーザーの認証情報が平文で送信されていないかを確認し、漏洩の原因を突き止める必要があります。

タスク

  • 'user'、'pass'、または 'login' という単語を含むパケットを見つけるための表示フィルタを作成する
  • 露出した認証情報を特定し、抽出する
  • 発見した認証情報を指定された形式で記録する

要件

  • Wiresharkを使用して、/home/labex/project/network_analysis/company_traffic.pcap にあるパケットキャプチャファイルを開く

  • 認証情報の可能性があるパケットを表示する表示フィルタを作成する

  • フィルタはパケットの内容から 'user'、'pass'、または 'login' という単語を検索する必要がある

  • フィルタが機能することを確認した後、フィルタバーの「+」ボタンをクリックして、検証用にフィルタを保存する

  • 認証情報を見つけたら、/home/labex/project/network_analysis/found_credentials.txt という名前のファイルに以下の形式で保存する:

    username: [found username]
password: [found password]

適切なフィルタを適用すると、Wiresharkには認証情報を含むパケットのみが表示されるはずです。認証情報を含むパケットは、パケットリスト上で HTTP または TCP として表示される可能性があるため、プロトコル列だけでなく、一致するパケットの内容に注目してください。

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   TCP       193     51234 -> 80 [PSH, ACK] Len=139

パケットの詳細を調べるか、ストリームを追跡すると、認証情報が平文で確認できるはずです:

GET /login.php HTTP/1.1
content: username=admin&password=secret123

作成する found_credentials.txt ファイルは以下のようになります:

username: admin
password: secret123

ヒント

  • ターミナルから wireshark コマンドを実行してWiresharkを起動します
  • パケットキャプチャファイルを開くには、[File] > [Open] からファイルパスへ移動します
  • 表示フィルタバーはWiresharkウィンドウの上部にあります
  • OR論理を使用して複数の用語を検索するには、or または二重パイプ || を使用します(例: frame contains "user" or frame contains "pass"
  • プロトコル列だけに頼らず、パケットの内容を検索してください。一致するリクエストがパケットリスト上でTCPパケットとして表示される可能性があるためです
  • Wiresharkのフィルタはデフォルトで大文字と小文字を区別します
  • 認証情報ファイルは nanogedit などのテキストエディタを使用して作成できます

まとめ

このチャレンジでは、Wiresharkを使用してネットワークトラフィックを分析し、認証情報の露出に関連する潜在的なセキュリティ脆弱性を特定する方法を学びました。タスクには、社内ネットワークトラフィックのPCAPファイルを調査し、ユーザーの認証情報が平文で送信されている箇所を見つけることが含まれており、これが検知されたデータ漏洩の原因である可能性を突き止めました。

慎重なパケット検査を通じて、暗号化されていない username=admin&password=secret123 データを含むログインリクエストを発見しました。Wiresharkが作成されたパケットをどのように解析するかによって、パケットリスト上ではHTTPまたはTCPとして表示される可能性があるため、この演習ではプロトコルのラベルだけに頼らず、パケットの内容を直接検査することの重要性を再確認しました。この演習は、機密情報を送信する際にHTTPSのような暗号化されたプロトコルを使用することの極めて重要な重要性を強調するものです。

✨ 解答を確認して練習
関連 Wireshark コース
初心者向け Wireshark

初心者向け Wireshark

cybersecuritywireshark
Wireshark と Tshark を用いたサイバーセキュリティ分析

Wireshark と Tshark を用いたサイバーセキュリティ分析

cybersecuritywireshark