野良 AP だと思って接続したら罠だった！疑似APを作って接続者を攻撃無線LANの攻撃ツールは、積極的にAPをアタックするだけではない。偽のAPを構築し、そこにターゲットが接続するのを待つという受け身の攻撃もある。文●山本洋介山最近ではどこでもネットにつながることが当た社会がやってきているのかもしれない。り前になって、たとえ外出中であっても、ホットスそんなネット依存症の人たちのために、無料でポットを使ったり、どこでも Wi-Fi や携帯電話のインターネット接続できる無線 LAN AP を用意し 3G 回線を使ってのローミングなど、何とかしてネッてあげる人たちもいる。もちろん優しさからだけトに接続している人も多くなっている。じゃなく、中にはいわゆる偽 AP とか無線ハニーそこまでのヘビーユーザーでなくても、ちょっポットとかいわれるものがある。甘い蜜には裏がとカフェなどで休憩したとき、Yahoo! が提供してあるのだ。いる無料 AP を使って、メールチェックや Twitter ここからは BackTrack に収録された、そんななどにアクセスする人も多い。悪人であれば WEP 危険な AP を作成するツールを紹介する。や WPA のパスワードを解析してまでネットに接続もちろん、悪用は厳禁だが、これについては接している人もいる（犯罪なのでもちろんやっちゃダ続する方も悪いような気がするので、法的にはどメだ）。うなんだかわからないが、とりあえず実験用としこのようにいつでもどこでもインターネットにて自分だけで楽しんでくれたまえ。つながっている、古臭い言葉だが、「ユビキタス」 ■■■■■ 接続したユーザーを解析する「Kmsapng」■■■■■ ●凶悪な無線 LAN ツールまず、最初に紹介するのは Kmsapng だ。AP 58 ユーザーはインターネット接続もできず攻撃されるがままという、何 1 ついいことのない AP だ。だと思って飛びついてきたアホな端末の脆弱性を ●利用できるデバイスと使い方勝手にがっつり検査してあげる、過剰に親切な Kmsapng で AP が作成できるアダプターは、 AP を作成するツールだ。リモートシェルを送り込基本的に Airbase-ng が使用できる無線 LAN アんで接続してあげたりするのはちょっとやりすぎダプターだ。Aircrack-ng が動作するなら動作すのような気がしなくはないが、そこは優しさだとるような気がするが、ZyDAS 1211 の USB アダプ思うことにしたい。ターでは動作しなかった。ツールの動作としては、AP で待ち受けて、そなお、ここでは NEC の Aterm WL54AG（Atheros こに接続したユーザーに IP アドレスを発行、その AR5001X）で動作を確認している。 IP アドレスを使って接続した端末の IP アドレスにまず、メニューから「Backtrack」→「Radio 向けて、Metasploit を使って脆弱性検査を行う Net-work Analysis」→「80211」→「Misc（All でという、単純な流れになっている。悲しいことにも可）」→「Kmsapng」を選ぶと Konsole が開く。 Kmsapng の攻撃の流れ ①待ち受け ②無線LANでAPに接続 ③Metasploitを使った脆弱性検査 Kmsapngが動いている偽AP ターゲット # ./kmsapng.sh とすると、ヘルプがずらずらっと表示される。オプションがいくつかあるが、設定する必要のあるオプションは -m と -i だ。 -m はモードで、km、kmf、kma、 kmaf から選べるが、km にしておけばいいだろう。やりたい攻撃を制限する場合は kmf を選ぶ。kma、 kmaf については Digininja のドライバーを使うというオプションで、BT では使用できない。図 1　メニューの 80211 の項目から「Kmsapng」を選んでコンソール画面を立ち上げる -i は AP として使用するデバイスを設定する。ど wlan0 以外にした場合、AP の作成に失敗する普通は wlan0 を設定する。ケースがあったので、できれば wlan0 にしておいその他のオプションとしてはた方がいいだろう。 -f 接続可能な MAC アドレスを指定する # ./kmsapng.sh -m km -i wlan0 -s AP の SSID を設定する（デフォルトは Free Wifi） -r Metasploit のリソーススクリプトを指定とコンソールに入力すると、MAC アドレスが変更され、AP と DHCP サーバーが起動する。AP 名は -d DHCP サーバーのコンフィグファイル（dhcpd. conf）を指定（ない場合は /tmp/dhcpd.conf が作成され、それが使用される） -l ログファイルのフォルダを指定する（デフォルトは /root/）がある。ここでは最低限のオプションで起動してみることにする。SSID 名くらいは変えてもいいかもしれない。なお、-i で指定するデバイス名を wlan1 な起動の確認ができた無線 LAN アダプター「NEC　Aterm WL54AG」。チップセットは Atheros AR5001X となっている。 6000 円前後で販売されている 59 「Free Wifi」だ。そして、Metasploit が起動し、DNS サーバーと Web サーバーをはじめ、たくさんの脆弱性検査に使われるサーバーやツールがロードされる。これで、ターゲットを待つことになる（図 2）。これで偽 AP ができあがったわけだが、さすがに犯罪者のようにターゲットに接続してもらうのを待つわけにはいかない。そこで、自分でやられ役クライアントマシンとしてインストールしたての WindowsXP（無印）マシンを用意して、接続してみることにしてみた。脆弱性検査によって何かしらの影響があるかもしれないので、手元で使っているマシンでは接続しない方がいいだろう。筆者は Windows マシンで接続してみたが、他の OS や、iPhone などのスマートフォンからでも接続することはもちろん可能だ。 ●クライアントから接続してみようクライアント側は、まず AP を検索し、図 2　Kmsapng を起動したところ。Metasploit の大量のサーバーが立ち「Free Wifi」というSSID を見つけて、そこ上がり、接続を待っているに接続する（図 3）。パスワードも設定されていないので、簡単に接続できるだろう。すると、10.0.0.100 〜255 のいずれかの IP アドレスが配布されて、無線 LANネットワークに参加することになる。まずは Web ブラウザーから試してみることにする。種別は何でもいいがブラウザーを立ち上げる。するといつものようにスタートページに接続に行くが（空白に設定している人はどこかに接続する必要がある）、いつもと違いブラウザーには「Loading」という文字が表示される。「Hotel Guest Wireless Service」というタイトルになっているので、ホットスポットやホテルからインターネット接続した際に表示されるようなイメージなのだろう（図 4）。クライアントとして、やることはこれで終了だ。特に画面も変わることなく、 60 図 3　Kmsapng が起動したら、Free Wifi という AP に接続する他にできることはない。ここからはインターネットに接続することもできないので、もし実際に一般ユーザーが接続してしまった場合は、間違えたと気づき、接続を止めて他の AP を探したりすることになるだろう。だがしかし、これだけでしっかりと攻撃が行われている。仕組みは以下のとおりだ。 ● Kmsapng の恐ろしさ DHCP サーバーが配布する DNS サーバー（kmsapng が実行されているマシン）はすべてのドメイン名の検索に対し、 kmsapng のアドレス（10.0.0.1）を返す。図 4　ブラウザーから接続すると「Loading」と画面が表示され、さまざまなサイトに自動的にアクセスすることになるそして、クライアントが接続する Web サーバー（10.0.0.1）は、すべてのページへのアク対し、SMBRelay が行えるマシンに対しては攻撃セスに対し、/ads という、攻撃用ページに誘導が行われる。もちろん NTLM ハッシュもキャプするように、HTTP リダイレクトを行う。チャーされる。この ads というページでは IFRAME によっ当然すべてのサーバーに対する認証はすべてエてブラウザーは自動的に Yahoo! や Google、ラーになるので、メールの送受信やファイルのや Facebook や Twitter といったサイトにアクセスすり取りができるわけもなく、そのうえにパスワーる。フォームに入力するパスワードを記憶させてドのやり取りはすべてキャプチャーされているたいたり、毎回のログインの手間を省くように永続め、ユーザー名とパスワードはすべて奪われてし的 Cookie を持っていたりすると、それが奪われまうだけでなく、運が悪ければ権限まで奪われててしまうのだ。そして、盗まれた Cookie やパスワーしまうのだ。ドを使われることで、ユーザーのアカウントが盗公衆 AP を使って職場のメールの送受信や共有まれるということになる。ファイルへのアクセスをするような人は少ないだそれだけではない。同時にブラウザーの脆弱ろうが、うっかりアクセスしてしまうと、このやり性攻撃も行われる。セキュリティホールを持つブ取りがキャプチャーされるということになっていラウザーを使用していた場合はシェルスクリプトる。が送り込まれたりもするようだが、手元の環境では対応する脆弱性がなかったようで再現できな ●データの閲覧とコマンドの実行かった。次に取得したデータを表示してみたり、Meta- このようにブラウザーでアクセスするだけで危 sploit のコマンドを使用してみたい。険きわまりない環境だが、新しいブラウザーだと Kmsapng を起動したコンソールには、現在アクセス中に証明書がおかしいなど指摘されるのの偽 AP の状態が逐次表示されているが、受けで、実際にはセキュリティに注意深い人には途中取ったデータを見るためにはこのコンソール上でで気づかれるかもしれない。ただ、そんな注意深 Enter キーを叩く。すると Metasploit のコマンドい奴が偽 AP を使ってインターネットにアクセスしラインが表示される。ようとは思わないだろうが。まずは、受け取った Cookie データを見てみるまた、Web 以外にも FTP、POP3、IMAP4 にことにしよう。ついては認証するだけの偽サーバーが立ち上がっている。Windows 共有ファイルへのアクセスに msf auxiliary(http) > db _ notes 61 とコマンドを打ち込むと、ゲットした Cookie データが表示される（図 5）。セッションキーやパスワードが含まれていると、セッションハイジャックが可能だ。ファイルについてはデフォルトでは /root/ フォルダに karmaJul-24-10-115303.db のような sqlite3 のデータベースとして保存されている。 FTP や POP3 のパスワードなどのキャプチャーデータについては /root/kms-Jul-24-10-115303.cap のように、pcap 形式で保存されているので、Wireshark などで見るといいだろう。 ●脆弱性攻撃でやられマシンに接続する次に脆弱性があるマシンに対し、リモートシェル接続を行う様子を実験してみることにする。ここで使ったのは古いすると、エクスプローラにはユーザー名とパスワー WindowsXP マシンに対しての SMBRelay 攻撃にドを入力するダイアログが表示されるが、その間よるリモートシェルだ。に偽 AP が自動的にやられマシンにリモートシェまず、やられマシンは偽 AP に接続し、エクルを埋め込み、AP からやられマシンに対しリモースプローラを開き、¥¥192.168.1.10¥ のようなトシェル接続を行う。 Windows 共有ファイルへのアクセスを行う（図 6）。 Kmsapng を実行しているマシンのコンソール図 6　SMBRelay の脆弱性を持つ Windows クライアントから Windows 共有ファイルにアクセスする 62 図 5　db_notes に取得した Cookie が書き込まれている図 7　Metasploit によって接続したクライアントマシンにリモートシェルが埋め込まれるにもこの様子が表示されている（図 7）。無事にセッションが確立されたことを確かめるには、metasploit のコマンドラインから msf auxiliary(http) > sessions とすると、10.0.0.1（偽 AP マシン）から 10.0.0.100 にコネクションが張られていることがわかる（図 8）。次に、 msf auxiliary(http) > sessions -i 1 図 8　10.0.0.1 から 10.0.0.100 へ接続されているとすれば、Windows のコマンドラインが開く。hostname コマンドで確認すると、接続したマシンだということがわかるだろう（図 9）。シェルコードが送り込まれて接続したマシンをコマンドラインで操作できる。運がよければユーザーを追加したりファイルをダウンロードすることも可能だ（図 10）。このように、脆弱性を持った PC で偽 AP に接続してしまうと、自動的にマシンが乗っ取られてしまうのだ。また、db_ nmap や db_autopwn といったコマンドを使って、アクティブに脆弱性検査を行うことも可能だ。図 9　Windows のコマンドラインが開く msf auxiliary(http) > db _ autopwn -t また、ターゲットの IP アドレスがわかっているので、Metasploit の GUI など BT4 のツールを使った攻撃ももちろんできるが、それは本稿の趣旨とは少し外れてしまうので、各自で試してみていただきたい。このように Kmsapng は思ったよりも派手に攻撃を仕掛けるので、軽い気持ちで AP を公開するのはとても危険だ。見つかったらいろいろな意味で大変な思いをすると思われるので、本当に自身で実験するだけにしていただきたい。AP を使ってい図 10　Kmsapng で埋め込んだリモートシェルからユーザーを追加したり、リモートデスクトップ接続を行うことだって可能だるユーザーは基本的にはご近所さんなのだ。 63 ■■■■■ 通信データを盗聴する「Mitmap」■■■■■ 価を払うことになるかもしれない。 ●偽APと通信させて、データを全部いただくこのように、実はインターネット接続できないうえに、攻撃の痕跡が残りやすい Kmsapng より次にもう 1 つの偽 AP として、Mitmap を使っも、Mitmap の方がタチが悪いツールなのかもしてみることにする。れない。家の近所にあるからといって、これを自 Mitmap は、Man in the Middle AP を省略し分の AP として使ったユーザーには目も当てられたと思われる名前のとおり、クライアントにこのない結果が待ち受けているだろう。もちろん、よ AP を経由してインターネットに接続してもらい、い子のみんなは実験目的で使うだけで、でっかいその間に入ってやり取りされているパケットを全アンテナとか挿して外に向けて公開したりなんか部キャプチャーしてしまおうというツールだ。しちゃいけないぞ。やり取りの流れについては下の図を参照していただければと思うが、Mitmap を経由してインター ●使用したデバイスネットに接続するのだから、すべてのデータは（暗設置する前から夢がふくらむ Mitmap だが、ま号化されていなければ）Mitmap の手の中にあるずは使用する環境を整えよう。というわけだ。 PC は BackTrack が動いていると思うのでこの Kmsapng と違い、AP に接続したユーザーは、ままでよい。あとは無線 LAN アダプターと、インそれなりに普通にインターネットに接続し、通信ターネットに接続している環境が必要となる。ができる。もし隣の家の AP がこれだったら、プ無線 LAN アダプターは基本的に Aircrack-ng ロバイダーの契約を打ち切って、ずっと使わせてが使用できる無線 LAN アダプターなら動作するいただこうかという気になるかもしれない便利さと思われるが、例外的に ZyDAS 1211 の USB アだ。こんなに便利なら、この AP を長時間使ってダプターでは動作しなかった。なお、ここではしまおうということになる。これが大きな罠なのだ。 NEC の Aterm WL54AG（Atheros AR5001X）で使っているユーザーは、知らず知らずのうちに、動作を確認している。メールのパスワードや、Web でのやり取りで使うまた、インターネット接続している側は、接続セッション ID など、大切なデータをこの偽 AP にできていれば基本的に何でも問題ないと思われ渡してしまっている危険性が高い。プロバイダーるが、ここでは LAN 内のクライアントとしてローの料金を節約しようと思ったのに、それ以上の対カル IP アドレスを DHCP サーバーから取得してい Mitmap のデータ盗聴の流れ ③AP経由でインターネット接続 ①待ち受け ②無線LANでAPに接続 Mitmapが動いている偽AP インターネット 64 ④ターゲットのデータを盗聴ターゲットる。また当たり前だが、Mitmap に接続するためのクライアントマシンとして、もう 1 台、無線 LAN 接続できるデバイスが必要だ。なければ携帯でも PSP でも Wi-Fi 接続できれば無問題だろう。それもなければ友達に泣きついて一緒に実験してみよう。 ● Mitmap を使ってみるでは、早速 Mitmap を使って偽 AP を構築してみることにする。メニューから「Backtrack」 →「Radio Network Analysis」 →「Misc（All でも可）」 →　「Mitmap」を選ぶと Konsole 図 1　メニューから「Mitmap」を選ぶが、コンソールが起動するだけなので、起動はコマンドラインから行うが開くので、ここからコマンドを実行する（図 1）。ここでは、モードは ap（Airbase-ngを使ってAP スクリプトを読んでみるとわかるのだが、を構築する）、AP にするデバイス（-i）は wlan0、 Kmsapng とは共通の部分も多く、基本的な使いインターネットに接続するデバイス（-o）が eth0 方は Kmsapng とあまり変わらない。だが、設定である前提で進めていく。する必要のあるオプションが -m （モード）と -i （AP なお Kmsapng 同様、-i で指定するデバイスに使用するデバイス）の他にもう1つ増える。-o（イ名を wlan1 など wlan0 以外にした場合、AP のンターネット接続する側のデバイス）だ。作成に失敗するケースがあったので、できれば接続したマシンがインターネットに接続できる wlan0 にしておいた方がいいだろう。ようにするには、もちろんこのデバイスが正常にまた、-s オプションで SSID を変更できるがインターネット接続できている必要がある。とり「FON_FREE_INTERNET」のようなまぎらわしいあえず、ブラウザーから HackerJapan の Web サものにすると、他人に間違って接続される可能性イトが見られるようになっていれば大丈夫だ。もがあるので、よい子は設定してはいけないぞ（笑）。し設定できていないのであれば、 # ./mitmap.sh -m ap -i wlan0 -o eth0 # /etc/init.d/networking start とコマンドを叩くと、デバイスに問題がなければコマンドなどで設定しよう。その他のオプション DHCP サーバーが起動し、AP が起動し、IP マスとしては、カレードとルーティングの設定が行われる。無線 LAN アダプターが AP になれないなど問題があっ -s SSID を設定する -f 接続可能な MAC アドレスを指定するた場合はエラーメッセージが現れて終了する。うまく AP が起動している場合は、 -dDHCP サーバーのコンフィグファイル（dhcpd. conf）を指定（ない場合は /tmp/dhcpd.conf が作成され、それが使用される） Listeng on at0...(Ethernet) at0 -> 00：0D:02:CD:51:29 10.0.0.1 255.255.255.0 がある。 65 のような、AP の MAC アドレスと設定が表示されるだろう。ちなみに、AP の IP アドレスは 10.0.0.1 で固定されている。 AP の起動に成功したなら、 Ettercap が起動する。この Ettercap によってパケットはすべてキャプチャーされることになる。フィンガープリントがロードされたなどの表示が出てくるものの、特にこれらは使用されず、純粋にパケットキャプチャーするだけだ。 Mitmap 側でやることはこれで終了だ。Kmsapng のように他のサーバーが起動することもない。あとは誰か好奇心旺盛な人が接続してくれるのを待つことになる。なお、起動中に何かしたい場合はキーボードの「h」を押すと Ettercap のコマンドリス図 2 # ./mitmap.sh -m ap -i wlan0 -o eth0 で Mitmap を起動し、偽 AP を立ち上げるトが表示されるので、そこから Ettercap の使いたいコマンドがあれば使ってれているものを引き継ぐようになっている（-d オみればいいと思うが、誰も接続していないかぎりプションで任意の dhcpd.conf を指定することに特に役には立たない。ちなみに「q」で Ettercap よってこのあたりは修正可能）。デフォルトゲーは終了するが、同時に Mitmap も終了することにトウェイはもちろん AP のアドレス（10.0.0.1）だ。なる。そして、IP マスカレードによって、普通にインター ●接続してみるとか撃ってみると、ちゃんと目的のサーバーから待つといっても、マックの近くに住んでるわけ返答があるだろう。でもないかぎり、自宅にカモが舞い込んで来るただしこのAP、立てたマシンの性能に左右され機会はほとんどない。もちろん本稿は実験目的るのかもしれないが、性能があまりよろしくない。で、待ち伏せ攻撃をしようというわけでもないのメールを読むくらいならいいのだが、重たい Web で、ここでもクライアントマシンを用意して、自分を閲覧したり、動画を見るのにはちょっと遅くてで接続してみることにする。Kmsapng のように使えない。混雑時のマックの無料 Wi-Fi サービス脆弱性を突かれるわけでもないので、怖がらなくくらいのギリギリな印象で、実験目的でないと個ても平気。普通のマシンでかまわない。人的にはちょっと普段使いにしたくない（図 3）。クライアントマシンを起動し「Free Wifi」という 66 ネット接続が可能となっているはずだ。一応 Ping SSID を見つけて、これに接続する。SSID 名を変 ●取得したデータを閲覧する更しているならば、その SSID に接続しよう。遅いのにイライラしたかもしれないが、一応接続するとホストには DHCP サーバーによってキャプチャーはできているはずなので、取得した 10.0.0.100 〜 254 からいずれかの IP アドレスがデータを見てみることにしよう。データは /root/ 配布され、DNS サーバーは偽 AP マシンで使わに mitmap- 日付 .cap という形式で保存されていランティア精神旺盛な方だって、この速度ではイライラして、他のスピード感あふれる AP を見つければ、すぐに浮気されて別れを告げられることになってしまうではないですか。こいつは困った。 ●遅いのは Ettercap なのか？ということで、スクリプトのソースコードを紐解いて、個々の要素を調べてみると、どうもパケットキャプチャーに使われる Ettercap がボトルネックになっているようだ。単純に考えると、 Ettercap を使わずに他のパケットキャプチャーを使えばいいのだろうが、この Mitmap のスクリプト、Ettercap の図 3 Mitmap を起動するとデフォルトでは「Free Wifi」という名前の AP が待ち受ける。クライアントからこのように「Free Wifi」が見えるので、これに接続するプロセスを監視しており、Ettercap が kill されるとスクリプト自体終了するようなので、これだけ終了するというわける。pcap 形式なので、Wireshark で閲覧可能だ。にもいかない。特に問題なく閲覧した Web サイトの内容や、メースクリプトを書き換えて Ettercap の代わりにルのパスワードなどが通過しているのがわかるだ tcpdump を起動させればいいのかもしれないが、ろう（図 4）。ただし、遅いので量的には不満のそれよりも手動で偽 AP を立ち上げて、パケット残る結果となった。これがもっと速ければ…　とをキャプチャーすることにする。コマンドをいくついう思いを持った人も多いはずだ。か叩く必要があり、手間は増えるが確実だろう。 ● Mitmap は遅い！ ● Airbase-ng を使った AP 作成 Mitmap によって確かに AP はできあがり、そとはいえ偽 AP を立ち上げる手順をどうやっての AP を使ったインターネットの接続とパケットのキャプチャーはできた。でも、どうにも遅い。望んでいたものはこれではないのだが、まあ… という不満を抱きながら使うのもいいのだが、このままでは自分用 AP として使用しながら、ついでにデータもいただくというカジュアルな使い方には適さない（そんなことをする人はごく少数だと思うが）。それにこの AP を使ってパケットをくださるボ図 4 Wireshark でキャプチャーしたデータを眺める 67 知ればいいのだろうという疑問が浮かぶだろうが、そこで AP に接続したクライアントがインター答えは簡単。偽 AP のプログラムなので当たり前ネットに接続するのに必要となる、IP アドレスのと言えば当たり前だが、Mitmap のスクリプトに設定とルーティングを行うことにする。その前に書かれている。これを基本的にはパクることにすマシンがインターネットに接続できているかどうる。か確認しよう。動作としても、AP に接続したホストが eth0 を接続できているなら、できあがった AP（at0）に、経由してインターネット接続し、そのデータをい ifconfig コマンドを使って IP アドレスを設定する。ただくという、ほぼ同じようなコンセプトで進め別に何でもいいが Mitmap と同じく 10.0.0.1/24 ていく。にしておいた。データの取得には FTP や POP3 のパスワードをピックアップできる Wifizoo を使おうかと思ったが、Wifizoo の解説の方が AP の作り方よりも長 # ifconfig at0 10.0.0.1 netmask 255.255.255.0 くなってしまいそうなので、Wireshark を使って、ただ生パケットをキャプチャーするだけにする。次に IP マスカレードによって、接続したクライアントのパケットがインターネットを行き来できるまずは、AP を作成するために Airbase-ng をようにする。インターネット接続している側のデ起動するが、その前に無線 LAN アダプターをモバイスは eth0 だ。2 行目では 10.0.0.1 に届いたニターモードにしておく必要がある。airmon-ng パケットが eth0 に流れることを許可している。コマンドはモニターモード ON/OFF するだけのツールだが、Aircrack-ng ツール群以外でも非常に役立つので、ぜひとも使いこなせるようにしておきたい。 # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # echo “1” > /proc/sys/net/ipv4/ ip _ forward # airmon-ng start wlan0 これで AP に接続したクライアントは無事にイこれで、mon0 というパケットモニター用の仮ンターネット接続可能になったが、これだけでは想アダプターが作成される。クライアントはちょっと困る。IP アドレスをどう次に macchanger コマンドを使って、MAC ア設定すればいいのかわからないのだ。ドレスが重ならないように変更する。自分だけで使うなら固定で 10.0.0.2/24 などのアドレスを設定してもいいのだが、基本的には誰 # macchanger wlan0 かに使っていただく予定だ。そこで DHCP サーバーを起動して、接続してきたクライアントに IP アドこれで AP を起動する準備は整った。Airbase- レスを配布するようにする。 ng を使って AP を起動する。使用するデバイスは DHCP サーバーは dhcpd3 がインストールされ先ほど作成した mon0 だ。ているのでこれを起動するといい。 # airbase-ng -P -C 3 -v mon0 これで Mitmap 同様に「Free Wifi」という AP -cf オプションで指定するのは、設定ファイルだ。ができあがる。パスワードの設定はないので、こなお、dhcpd.conf は Mitmap を起動すると、れだけでも接続は可能だが、これに接続したとこ /tmp/dhcpd.conf という設定ファイルが自動作成ろでクライアントは何もできない。LAN ケーブルされるので、これをコピーして保存しておくと、こをハブに挿しただけのように、ただ接続しているれがそのまま使えるので便利だ。だけだ。 68 # dhcpd3 -cf dhcpd.conf at0 ・dhcpd.conf の一例で、もちろんパケットをキャプチャーすることにす default-lease-time 60; る。 max-lease-time 72; パケットをキャプチャーするには、普通に Wire- ddns-update-style none; shark を起動すればよい。メニューの「Internet」 authoritative; →「Wireshark」を選ぶと起動するだろう。メニュー log-facility local7; の「Caputure」から「Interface」を選ぶとパケッ subnet 10.0.0.0 netmask トキャプチャーする NIC を選択する画面になるの 255.255.255.0 { で、mon0 を指定すれば、クライアントとインター range 10.0.0.100 10.0.0.254; ネットとのやり取りがどんどん取得されていくだ option routers 10.0.0.1; ろう。パケットの量にもよるが、それほど接続速 option domain-name-servers 度が激減することもないので安心だ。 192.168.1.1; ← │ ここは使用する DNS サーバーのアドレス } ●それでも野良 AP を使う？ここまで簡単ではあるが、パスワードを抜いたり、閲覧データをいただいたりすることのできるこれで、AP の設定は終了した。Mitmap で偽 AP の作り方を紹介させていただいた。DNS 使ったクライアントで接続してみると、問題なくを工夫したり Metasploit との連携などによって、インターネットに接続できているだろう。しかも、接続したクライアントには、よりさまざまな攻撃 Mitmap のときと違い、サクサク動く！　同じマが行われることになるだろう。シンだというのに、あまりのネットワーク接続スそういえば最近はなぜかパスワードに不備があピードの違いに愕然とした。普通に動画だって見る野良 AP を使う人がまた増えているらしい。たられるし、ラジオだって聞ける。理由はちょっとだのセキュリティ不備ならともかく、世の中にはよくわからないが Ettercap がかなり足を引っ張っ本稿のような手段でパケットをキャプチャーしたていたようだ。り、マルウェアを仕込んだりするためのハニーポッ ●パケットのキャプチャーを行うトとして AP を立ち上げている人も決して少なくはないことを理解したうえで、接続していただきたこのまま、便利な AP として使ってもいいのだいものだけど、特に考えてないから接続しちゃうが、さすがにパケットのキャプチャーが行えないんでしょうね。のはイヤだし、本来の目的から遠ざかっているの図５ Wireshark を起動して、AP に接続してきたマシンのパケットをキャプチャーする 69