パケットスニッファは、パケットアナライザー、プロトコルアナライザー、ネットワークアナライザーとも呼ばれ、ネットワークトラフィックを監視するために使用するハードウェアまたはソフトウェアなどの一部です。スニッファの動作は、ネットワーク上のコンピューターやネットワーク化されたコンピューターと大規模なインターネットとの間を流れるデータパケットのストリームの調査を行います。これらのバケットの調査対象や宛先は、特定の機器ですが、パケットスニッファを「プロミスキャスモード」で使用すると、IT担当者、エンドユーザー、悪意のある侵入者は、宛先に関係なくあらゆるパケットを調査することができます。スニッファは二通りの方法で設定することができます。1つ目は「フィルタリングなし」で、可能な限りすべてのパケットをキャプチャし、後で調査するためにローカルのハードドライブに書き込みます。もう1つは「フィルタリング」モードで、特定のデータ要素を含むパケットのみをキャプチャします。
パケットスニッファは、有線ネットワークでも無線ネットワークでも使用することができます。その有効性は、ネットワークセキュリティプロトコルの結果として、どれだけ「見る」ことができるかによって異なります。有線ネットワークでは、スニッファは接続されているすべての機器のパケットにアクセスできる場合もあれば、ネットワークスイッチの配置によって制限される場合もあります。無線ネットワークでは、ほとんどのスニッファは一度に1つのチャネルしかスキャンできませんが、複数の無線インターフェイスを使用することで、この能力を拡張することができます。
普及率とリスクの要因
スニッファを使用すると、たとえば、ユーザーが閲覧したWebサイト、サイト内の閲覧内容、メールの内容や宛先、ダウンロードしたファイルの詳細など、ほとんどすべての情報を取得することができます。プロトコルアナライザーは、企業が従業員のネットワーク使用状況を把握するためによく使用され、評判の高いウイルス対策ソフトウェアパッケージの多くにも含まれています。外部向けスニッファは、受信ネットワークトラフィックに悪意のあるコードの特定の要素があるかどうかスキャンし、コンピューターウイルスの感染を防ぎ、マルウェアの拡散を制限するのに役立ちます。
ただし、これらのアナライザーは悪意のある目的にも使用できることに注意する必要があります。ユーザーがマルウェアを含むメールの添付ファイルやWebサイトから感染したファイルをダウンロードするように誘導された場合、不正なパケットスニッファが企業ネットワークにインストールされる可能性があります。ひとたび設置されると、パケットスニッファは送信されたデータを記録し、さらなる分析のためにコマンド&コントロール(C&C)サーバーに送信することができます。これにより、ハッカーはパケットインジェクションや中間者攻撃を試行したり、送信前に暗号化されていなかったデータを侵害したりすることが可能となります。
パケットスニッファを適切に使用すれば、ネットワークトラフィックをクリーンアップし、マルウェア感染を制限することができますが、悪意のある使用から保護するには、インテリジェントなセキュリティ製品が必要です。
