盗聴

通信内容をターゲットに知られずに不正に傍受する行為などが 盗聴です。
盗聴という行為自体が攻撃をするものではないので、 発見が非常に難しいのが実情です。
盗聴対象のデータとして次のものが挙げられるでしょう。

やり方として、 Local(近辺)からの盗聴と、 Remote(遠く)からの盗聴に分類してみましょう。

 ローカル盗聴

ネットワーク上に流れているパケットを取得して解析するための プログラムで、「プロトコルアナライザ」とか「パケットモニタ」とか、 ネットワーク・スニッファ(sniffer→直訳:におい探知器)呼ばれる ソフト(ハードも存在します)があります。
これはネットワークの障害の原因の特定、 通信状態の確認、機器の性能試験、 プログラムのデバッグなどが目的で作られたわけですが 盗聴などに悪用されることがあるわけです。
スニッファ ソフトで 使われる 解析方法は、 ネットワークカードの 受信モードを「プロミスキャスモード」に変更するやり方です。
そのモードの時、ネットワークカードに 届いたすべてのパケットを取得できる状態になります。
この状態で暗号化されていない、telnet、POP3、FTPなど情報は 丸見えになってしまいます。
つまり、通信内容を暗号化することが最も効果的な対策です。 telnetではなくssh(→secure shell)を使うや、 VPN(→Virtual Private Network)を利用する対策です。

CSMA/CDで動作するサブネットワーク内では、 全ての送信情報が、そのネットワーク内の全てのホストに届くので 非常に危険です。
スイッチングハブで集線することで、 目的のホストにだけにパケット届け、 他のホストで見れないパケットになります。 しかしブロードキャストパケットは全てに届きます。 スイッチングハブの学習機能が働く前の起動時や、 MACアドレスのあふれなどでスイッチングが効いていない 時は、目的以外のホストにも届けられます。


また、スイッチングハブが正しく機能する環境でも、 中間者攻撃(Man in the Middle attack)によって、 パケットの内容が盗聴されます。 中間者攻撃は、 通信を行なう間に割り込んで、 両者の情報を攻撃者のホストにすりかえるやり方です。 この場合は、 スイッチングハブのIPアドレスとMACの対応表 (→Address Resoulution Protocolで使われるキャッシュ)を 操作するので、ARPポイゾニングと呼ばれます。

例としてAからBの間の通信で、Xのホスト割り込む場合を 示します。
まず、XからAへのホストに、パケットを送り続けます。 このパケットは、 偽造パケットで送り元IPアドレスをホストBに偽造したパケットです。 (この偽造パケットの送り元MACアドレスは、Xのものです。 これで、AからBに送るパケットはXに届くようになります。)
同様に、XからBへのホストに、 送り元IPアドレスをホストAに偽造したパケット を送り続けます。
これで、BからAに送るパケットもXに届くようになります。
ここで、AからXにきたパケットを中継してBに送り、 BからXにきたパケットをAに中継すれば、 盗聴されているか分かりません。この方式は盗聴以外に改ざんの 手口としても使われます。

対策は、IPアドレスとMACアドレスの対応関係を 常時監視する方法 (このようなツール例→「Arpwatch」) や、ARPキャッシュでなく static MACアドレスの登録機能があるスイッチや、 ポートミラーリング機能を利用した監視などが挙げられます。 (ポートミラーリンは、ネットワークを流れるデータを別の回線に コピー送信する機能で、 コピーしたデータは、監視や障害解析に使われます。)

また、剥き出しのポートが 触れら れないようにすることや、 ハブはラックの中に施錠して収納するなどの対策も必要です。

 リモート盗聴

サーバーなどに盗聴用モジュールなどを仕込み、 通信内容の適当なキーワード(例えばpassword)をトリガーにして、 記憶し、その盗聴した情報を、なんらかの方法(メールなど)で 外部に送るやり方です。
この場合は、盗聴対象の マシンに、なんらかの方法で浸入して、仕込む操作が行われます。

また、キーロガー(key logger)などが仕込まれて、 キーボードからの入力が記録され、 どこかに送信するタイプも盗聴の一つでしょう。
(キーロガーは、常駐型のソフトとして 別のソフトの使用中に透過的に動作し、全てのキー操作がそのまま 記録可能なものです)
トロイの木馬でメールに添付され侵入するケースもあります。
『Badtrans.b』というウイルスでは、キーロガーの機能があり、 キー情報を特定サイトに送信するものがありました。
またハード的にキーボードのケーブルに仕込む盗聴器もあります。

ケーブルから漏れる電磁波を盗聴して、 ターゲットが使っているディスプレイの画面を盗み見する技法も 存在するようです。