DARK MATTER

CDI Engineer's Technical Blog

LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました

f:id:yasuikj:20200330193144j:plain
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか?

本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。
ご自身の環境以外では試さないようお願いします。

なぜLANケーブルからの侵入?

技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず、サイバー攻撃といえばインターネットを介した攻撃が主流なため、物理的な侵入を要するLANケーブルや光ケーブルからの侵入はあまり注目されていないのかもしれません。無線LANのセキュリティについてはよく語られていますが、建物内にひかれたLANケーブルや街中にひかれた光ケーブルについては話題が少ないと感じています。攻撃者は、防御側が見過ごしているような弱点をついて攻撃してくるものです。注目度が低いと感じるLANケーブルや光ケーブルについても必ずしも安全というわけではないことは知った上でセキュリティ対策を考えていただきたいと考えた次第です。

LANケーブルってセキュリティ上安全?

パソコンをスイッチングハブにLANケーブルで接続していたとします。LANケーブルをコネクタから抜いたり、LANケーブルを物理的に切断してハブを挟み込めば、そこからネットワークにアクセスできてしまいます。
このような攻撃に対し、ネットワークの知識がある人なら、「LANケーブルをコネクタから抜けないように鍵をかければ抜かれることはないし、定周期で死活監視をしていれば、なにかおかしなことが起こっていることに気づくことができる。」と考えかもしれません。はたして、本当に検出できるでしょうか?

本稿では、まずLANケーブルから侵入できることを知らない人向けに、LANケーブルを切断してLANケーブルを自作する方法で侵入・盗聴できる事を実験しました。次に、「ぐっとすプラグ」という器具を使い短時間で侵入・盗聴できてしまう事を実験しました。

侵入・盗聴実験

実験では、侵入・盗聴する対象として、図1に示すノートPCをスイッチングハブにLANケーブルで接続し、ノートPCからスイッチングハブにPing通信し続けている環境を用意しました。Ping通信は1秒周期でノートPCからパケットを送信し受信したスイッチングハブがノートPCに応答パケットを返す状態としました。
f:id:yasuikj:20200330184913p:plain:w300

f:id:yasuikj:20200401200406j:plain
図1:侵入・盗聴対象ネットワーク

盗聴するための装置として図2に示すリピータハブと盗聴用PCを準備しました。
f:id:yasuikj:20200330185507p:plain:w100
f:id:yasuikj:20200401200719j:plain

図2:リピータハブと盗聴用PC

盗聴用PCはWindowsPCにパケットキャプチャソフトのWiresharkをインストールしたPCです。リピータハブを使ったパケットキャプチャのイメージを図3に示します。リピータハブはLANにつなげた場合、通信パケットを全てのポートに送り出す装置であり通信パケットを解析する際に使用される装置です。

f:id:yasuikj:20200330185921p:plain
図3:リピータハブを使ったパケットキャプチャのイメージ

この後に実施する実験の前に、ネットワークへの侵入と盗聴の概要を説明します。ネットワークへの侵入は、ノートPCとスイッチングハブ間のLANケーブルをニッパーで切断し、切断したLANケーブルの間にリピータハブを設置します。このようにすると、ノートPCとスイッチングハブ間に流れる通信パケットはリピータハブを経由して盗聴用PCにも流れ込むためWiresharkで盗聴が行えます。この実験では、ケーブルを切断してからどの程度の時間でWiresharkでPing通信の盗聴が行えるかを測定します。

LANケーブルを切断してLANケーブルを自作する方法での実験

まず、LANケーブルを切断してLANケーブルを自作する方法で試してみました。

使用した機器
サンワサプライ かしめ工具(ラチェット付) LAN-TL8 3,482円
エレコム RJ45コネクタ 単線仕様 10個入り LD-RJ45T10A 192円
ニッパー 持っていた物

f:id:yasuikj:20200330000538j:plain
ケーブル自作道具

リピータハブの設置

ノートPCとスイッチングハブの間のLANケーブルをニッパーで切断します。
f:id:yasuikj:20200330221649j:plain
切断した2箇所にLANコネクタをかしめ工具でとりつけます。
f:id:yasuikj:20200330221741j:plain
2つのLANコネクタを盗聴用PCとつなげたリピータハブに接続します。
f:id:yasuikj:20200401201414j:plain

ニッパーで切断してから、LANコネクタをとりつけるまで、日頃このような作業を行なっていないこともあり約20分かかりました。慣れた人でも数分はかかるのではないかと思います。

侵入・盗聴時間の測定

上記の作業後、盗聴用PCのWiresharkの画面でノートPCとスイッチングハブのPingパケットがキャプチャできていることを確認しました。
f:id:yasuikj:20200331133144p:plain
ニッパーで切断してから、盗聴用PCで、ノートPCとスイッチングハブ間の通信のパケットをキャプチャできるまで、20分以上かかりました。

20分以上物理的に通信断の状態が継続しているので、例えば1分周期に死活監視をおこなっていれば、十分異常を検出できることがわかります。

「ぐっとすプラグ」を使う方法での実験

前述の実験のとおり、LANケーブルを切断すると数分単位の通信断が発生します。これならば、定周期で死活監視をしていれば通信断を容易に発見できそうですが、本当にそうでしょうか?
作業的にはケーブルを切断し、間にリピータハブを挟むだけですから高速に作業ができれば通信断の時間は短くできてしまいそうです。なにか道具がないかと探したところ「ぐっとすプラグ」というものを発見しました。
(注)「ぐっとすプラグ」は専用工具なしでLANケーブルを接続するための製品であり、ここで紹介するような利用を目的とした製品ではありません。

使用した機器
パナソニック(Panasonic) ぐっとすプラグ CAT6 NR3555 × 2 1,238円
カッター 持っていた物
ニッパー 持っていた物

f:id:yasuikj:20200330002849j:plain
ぐっとすプラグ

LANケーブル切断前の準備

カッターでLANケーブルの被覆を剥がし中のより線をひっぱりだします。
f:id:yasuikj:20200401201629j:plain

LANケーブルの被覆をはがした状態

より線をほぐしてぐっとすプラグを設置します。

f:id:yasuikj:20200401151919p:plain
LANケーブルはキレてないです!

f:id:yasuikj:20200401201830j:plain
ぐっとすプラグ装着後

この状態では、LANケーブルはキレてないです!このため、ノートPCとスイッチングハブの間のPing通信は途切れず通信している状態です。

リピータハブの設置

2つのぐっとすプラグをリピータハブに接続する準備をし、LANケーブルをニッパーで切断する直前の図です。

f:id:yasuikj:20200401202454j:plain
ぐっとすプラグの間のLANケーブルを切断する直前

まだ、ぐっとすプラグはリピータハブのコネクタにしっかり刺さっていません。さあ、ここからLANケーブルをニッパーで切断し、直後に2つのぐっとすプラグをリピータハブのコネクタに差し込みます。 3・2・1・・・・ バチンッ グッ

ぐっとすプラグの間のLANケーブルをニッパーで切断した後、2つのLANコネクタをリピータハブに接続した図です。

f:id:yasuikj:20200401202606j:plain
ぐっとすプラグの間のLANケーブルを切断しコネクタ接続した直後

ニッパーで切断してから、ぐっとすプラグをリピータハブのコネクタに接続するまで1〜2秒かかりました。

侵入時間の測定

切断してから、盗聴用PCで、ノートPCとスイッチングハブの間の通信のパケットをキャプチャできるまで、5秒でした
参考として、実験時に採取していた盗聴された側のノートPCのログと、盗聴用PCのWiresharkの画面を示します。


f:id:yasuikj:20200402155643p:plain
ケーブル切断から盗聴までの時間
盗聴された側のノートPCでは、16:36:58までPingが成功しており、16:36:59にケーブル切断によるリンク断を検出し、16:37:04からpingが成功しています。盗聴用PCのWiresharkの画面でも16:37:04からPing(ICMP echo)のパケットがキャプチャできています。

通信断時間が5秒しかないため、例えば1分周期に死活監視をおこなっていたとすると、通信断の検出は難しいかもしれません。

物理対策と監視運用

本稿で記載したような手口もあることを知っておくと、万一セキュリティインシデントが発生した際の侵入口の特定の役に立つかもしれません。いろいろな可能性があることを体験として知っておくと対策を検討する上でも地に足がついた検討が可能になります。

今回、Ping通信の盗聴を行いましたが、もし重要なデータを平文で通信していた場合、今回の手口で盗聴されてしまう可能性があります。
本手口に対してはどのような対策が効果があるでしょうか?推奨対策としては暗号化があります。とはいえ予算的に暗号化できない場合もあるでしょう。LANケーブルを敷設した部屋に鍵をかけLANケーブルに近づけないようにすることも効果があるでしょうが、部屋間を床下や天井をLANケーブルでつないでおり全てのLANケーブルを鍵付きの部屋に設置することは難しいかもしれません。もちろん怪しい人を建物に入れないようにすることも効果があるでしょう。LANに何かおかしなものが物理的に接続されていないか定期点検するというのも1つの案かもしれません。リンク断を検出するというアプローチもあります。現状を許容するがインシデント発生時の調査対象にLANケーブルの点検を含めるという考えもあります。答えは1つではないので何が現実的かを考えてみてください。

なお、本稿ではLANケーブルを切断しましたが、異なる方法で切断せずに盗聴することも可能です。また、冒頭で触れた光ケーブルについては、このLANケーブルの実験のように侵入は簡単ではなく時間や技術が必要ですが、仕組み的には切断して侵入することは可能であることを補則しておきます。

まとめ

LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できることを実験で確認しました。
本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。ケーブルから侵入・盗聴される脅威を正しく把握してセキュリティ対策に役立ててください。
本稿が、セキュリティ対策検討の一助になれば幸いです。

追記:切断時ニッパーを介したPoE電流による装置破壊の懸念のコメントをいただきました。実験する際は気をつけてください。

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.