airdecap-ng 徹底解説：キャプチャファイルから無線LANトラフィックを復号する 🔓

はじめに：airdecap-ngとは？

airdecap-ngは、無線LANセキュリティ監査ツールのスイートであるAircrack-ngに含まれる重要なコマンドラインユーティリティの一つです。主な役割は、WEP、WPA、またはWPA2で暗号化された無線LAN（Wi-Fi）の通信記録（キャプチャファイル、通常は.capまたは.pcap形式）を、既知のキーを使用して復号することです。

具体的には、暗号化されたパケットデータを取り込み、適切なキー（WEPキーまたはWPA/WPA2パスフレーズ/PSK）を適用して、元の平文（暗号化されていない）データに変換します。これにより、ネットワークアナリストやセキュリティ専門家は、キャプチャされたトラフィックの内容を詳細に調査・分析できるようになります。

また、暗号化されていないキャプチャファイルから、不要な無線LANヘッダー（802.11ヘッダー）を取り除くためにも使用できます。復号された、またはヘッダーが除去されたパケットは、新しいファイル（通常は元のファイル名に-dec.capが付加された名前）として出力されます。

このツールは、以下のような目的で広く利用されています。

• ネットワークトラフィック分析： 暗号化された通信内容を可視化し、通信プロトコルやデータ内容を調査します。
• セキュリティ監査： ネットワーク上で送受信されているデータの内容を確認し、情報漏洩のリスクや脆弱性を評価します。
• フォレンジック調査： インシデント発生時に、暗号化された通信記録を復号し、証拠を収集・分析します。
• 教育・学習： 無線LANの暗号化・復号プロセスを実践的に学ぶためのツールとして活用されます。

airdecap-ngは、Aircrack-ngスイートの他のツール、特にパケットキャプチャツールであるairodump-ngやキー解析ツールaircrack-ngと連携して使用されることが多いです。

前提条件：airdecap-ngを使う前に必要なもの 🛠️

• 暗号化されたパケットキャプチャファイル (.cap, .pcapなど):
  • 復号したい無線LANトラフィックが含まれているファイルが必要です。
  • このファイルは通常、airodump-ngなどのパケットキャプチャツールを使用して作成されます。
  • ファイルには、復号対象のデータパケットが含まれている必要があります。
• 正しい暗号化キー:
  • WEPの場合: 正しいWEPキー（通常は16進数形式）が必要です。aircrack-ngなどを使って事前にキーを特定している必要があります。
  • WPA/WPA2 (PSK)の場合: 正しいWPA/WPA2パスフレーズ（Pre-Shared Key）または、それから計算されたPMK（Pairwise Master Key、16進数形式）が必要です。
• WPA/WPA2の場合：完全な4ウェイハンドシェイク (Four-way Handshake):
  • WPA/WPA2のトラフィックを復号するには、キャプチャファイル内に、対象となるクライアントとアクセスポイント間の完全な4ウェイハンドシェイクが含まれていることが必須です。
  • 4ウェイハンドシェイクは、クライアントがアクセスポイントに接続（認証）する際に行われる鍵交換のプロセスです。このハンドシェイク中に、データ暗号化に使用される一時的な鍵（PTK: Pairwise Transient Key）が生成されます。
  • airdecap-ngは、このハンドシェイクの情報（特にメッセージ2と3、またはメッセージ3と4）を利用してPTKを導出し、その後のデータパケットを復号します。
  • ハンドシェイクがキャプチャされていない、または不完全な場合、airdecap-ngはデータパケットを復号できません。
  • ハンドシェイクは、クライアントがネットワークに接続する瞬間にのみ発生します。そのため、airodump-ngでキャプチャを開始する前にクライアントが既に接続済みだった場合、ハンドシェイクはキャプチャされません。意図的にハンドシェイクをキャプチャするには、aireplay-ngの認証解除（deauthentication）攻撃などを使ってクライアントを一時的に切断させ、再接続を促すテクニックが使われることがあります（ただし、これは許可されたネットワークでのみ行うべきです）。
• Aircrack-ngスイートのインストール:
  • airdecap-ngは単体では提供されていません。Aircrack-ngスイートの一部としてインストールされている必要があります。Kali Linuxなどのセキュリティ系ディストリビューションには、通常プリインストールされています。

これらの要素が揃っていれば、airdecap-ngによる復号作業に進むことができます。

基本的な使い方：コマンド構造

airdecap-ngの基本的なコマンド構文は非常にシンプルです。ターミナル（コマンドプロンプト）で以下のように入力します。

airdecap-ng [オプション] <キャプチャファイル名>

• airdecap-ng: コマンド本体です。
• [オプション]: 復号の条件を指定するためのフラグです。例えば、WEPキーやWPAパスフレーズ、対象のネットワーク（ESSIDやBSSID）などを指定します。どのようなオプションがあるかは後述します。
• <キャプチャファイル名>: 復号したい暗号化されたパケットが含まれる.capまたは.pcapファイルを指定します。

実行が成功すると、airdecap-ngは指定されたキーを使ってキャプチャファイル内のパケットを復号し、結果を新しいファイルに出力します。デフォルトの出力ファイル名は、元のキャプチャファイル名の末尾に-dec.capが付加されたものになります（例: capture.cap → capture-dec.cap）。

例えば、WEPキーを使ってwep_capture.capというファイルを復号する場合、以下のようなコマンドになります（-wオプションはWEPキーを指定します）。

airdecap-ng -w 1A2B3C4D5E wep_capture.cap

また、WPAパスフレーズとESSIDを使ってwpa_capture.capを復号する場合は、以下のようになります（-pオプションはパスフレーズ、-eオプションはESSIDを指定します）。

airdecap-ng -e "MyWiFiNetwork" -p "MySecretPassword" wpa_capture.cap

オプションを正しく指定し、前提条件（正しいキー、WPAの場合は完全なハンドシェイク）が満たされていれば、復号されたパケットを含む-dec.capファイルが生成されます。

主要なオプション解説 ⚙️

airdecap-ngには、復号プロセスを制御するためのいくつかのオプションがあります。以下に主要なものを表形式でまとめます。

これらのオプションを組み合わせることで、特定の条件下での復号や、特定のネットワークトラフィックの抽出・復号が可能になります。

WEPで暗号化されたトラフィックの復号

WEP (Wired Equivalent Privacy) は、初期の無線LAN暗号化規格ですが、深刻な脆弱性が見つかっており、現在では安全ではないとされています。しかし、古い環境ではまだ使用されている場合があります。airdecap-ngを使えば、WEPキーがわかっている場合に、WEPで暗号化されたトラフィックを簡単に復号できます。

手順:

1. WEPキーの準備: 復号対象のネットワークで使用されている正しいWEPキーを入手します。これは通常、aircrack-ngなどのツールで解析して得られます。キーは16進数形式である必要があります（例: 1A2B3C4D5E）。
2. キャプチャファイルの準備: airodump-ngなどでキャプチャした、WEP暗号化されたデータパケットを含む.capファイルを用意します。
3. airdecap-ngの実行: ターミナルを開き、以下のコマンドを実行します。

   airdecap-ng -w <WEPキー(16進数)> <キャプチャファイル名.cap>

   例えば、WEPキーが 1122334455 で、キャプチャファイルが wep_traffic.cap の場合：

   airdecap-ng -w 1122334455 wep_traffic.cap

   もし128ビットWEP（104ビットキー）でキーが ABCDEF1234567890ABCDEF1234 ならば：

   airdecap-ng -w ABCDEF1234567890ABCDEF1234 wep_traffic.cap

   特定のアクセスポイント（BSSIDが 00:11:22:AA:BB:CC）のトラフィックのみを対象にしたい場合は、-bオプションを追加します。

   airdecap-ng -b 00:11:22:AA:BB:CC -w 1122334455 wep_traffic.cap

4. 結果の確認: コマンドが正常に実行されると、処理されたパケット数と復号されたパケット数が表示され、カレントディレクトリに <キャプチャファイル名>-dec.cap という名前のファイルが生成されます。

   Total number of packets read         15000
   Total number of WEP data packets     8500
   Total number of WPA data packets     0
   Number of plaintext WEP packets      6800
   Number of corrupted WEP packets      1700
   Number of decrypted WPA packets      0

   この例では、8500個のWEPデータパケットのうち6800個が復号され、1700個は破損していた（CRCエラーなど）ことがわかります。
5. 復号ファイルの利用: 生成された -dec.cap ファイルをWiresharkなどのパケット解析ツールで開くと、暗号化されていた通信内容（HTTPトラフィック、DNSクエリなど）を平文で見ることができます。

WEPの復号は比較的単純ですが、そもそもWEP自体が安全でないため、可能な限りWPA2やWPA3への移行が強く推奨されます。

WPA/WPA2で暗号化されたトラフィックの復号

WPA (Wi-Fi Protected Access) および WPA2 は、WEPよりもはるかに強力な無線LAN暗号化規格です。これらのトラフィックをairdecap-ngで復号するには、WEPの場合とは異なる要件があります。

手順:

1. パスフレーズ（またはPMK）の準備: 復号対象のネットワークで使用されている正しいWPA/WPA2パスフレーズ（例: MySecretPassword123）または、事前に計算されたPMK（Pairwise Master Key、64桁の16進数）を用意します。
2. ESSIDの確認: 復号対象ネットワークのESSID（ネットワーク名、例: MyHomeNetwork）を確認します。パスフレーズを使う場合、PMKの計算にESSIDが必要となるため、通常必須です。
3. 4ウェイハンドシェイクを含むキャプチャファイルの準備: airodump-ngなどで、対象ネットワークのトラフィックをキャプチャします。この際、復号したいクライアントがネットワークに接続する際の4ウェイハンドシェイクを確実にキャプチャする必要があります。airodump-ngを実行中にハンドシェイクがキャプチャされると、画面右上に「WPA handshake: [BSSID]」のように表示されます。
4. airdecap-ngの実行: ターミナルを開き、以下のいずれかの形式でコマンドを実行します。
   • パスフレーズとESSIDを使用する場合:

     airdecap-ng -e <ESSID> -p <パスフレーズ> <キャプチャファイル名.cap>

     例: ESSIDが “MyNetwork”、パスフレーズが “Password12345″、ファイルが wpa_traffic.cap の場合:

     airdecap-ng -e "MyNetwork" -p "Password12345" wpa_traffic.cap

   • PMKを使用する場合 (ESSIDの指定は不要):

     airdecap-ng -k <PMK(16進数)> <キャプチャファイル名.cap>

     例: PMKが 1122...AABB、ファイルが wpa_traffic.cap の場合:

     airdecap-ng -k 112233445566778899aabbccddeeff00112233445566778899aabbccddeeff wpa_traffic.cap

   • BSSIDを指定して特定のAPに絞る場合 (パスフレーズ利用時):

     airdecap-ng -b 00:11:22:AA:BB:CC -e "MyNetwork" -p "Password12345" wpa_traffic.cap

5. 結果の確認: コマンドが正常に実行されると、処理されたパケット数と復号されたパケット数が表示され、デフォルトで <キャプチャファイル名>-dec.cap ファイルが生成されます。

   Total number of packets read         25000
   Total number of WEP data packets     0
   Total number of WPA data packets     18000
   Number of plaintext WEP packets      0
   Number of corrupted WEP packets      0
   Number of decrypted WPA packets      15500

   この例では、18000個のWPAデータパケットのうち15500個が復号されたことを示しています。復号されなかったパケットは、ハンドシェイクが対応しない（別のクライアントのものなど）、またはハンドシェイクより前にキャプチャされたパケットである可能性があります。
6. 復号ファイルの利用: 生成された -dec.cap ファイルをWiresharkなどで開けば、対象クライアントの通信内容（ハンドシェイク成功後）を平文で見ることができます。

応用的な使い方とヒント ✨

airdecap-ngは基本的な復号機能以外にも、いくつかの応用的な使い方や知っておくと便利な点があります。

特定のネットワークやデバイスに絞る

大規模なキャプチャファイルには、複数のアクセスポイント（AP）やクライアントの通信が含まれていることがあります。特定のAP（BSSID）に関連するトラフィックだけを復号したい場合は、-b <BSSID>オプションを使用します。

airdecap-ng -b 00:AA:BB:CC:DD:EE -p MyPassword -e MyNetwork capture_all.cap

これにより、指定したBSSIDを持つAPとの通信のみが復号対象となり、処理効率が向上し、出力ファイルも整理されます。

特定のクライアントデバイスに絞りたい場合は、airdecap-ng自体にはクライアントMACでフィルタする直接的なオプションはありません。しかし、キャプチャ段階（airodump-ngなど）でクライアントMACアドレスを指定してフィルタリングしておくか、または復号後の-dec.capファイルをWiresharkで開き、Wiresharkの表示フィルタ機能（例: wlan.addr == ff:ff:ff:ff:ff:ff）を使って特定のデバイスの通信を抽出するのが一般的です。

復号後のファイル形式とヘッダー

デフォルトでは、airdecap-ngは復号時に元の802.11無線LANヘッダーを削除し、一般的なEthernet IIヘッダーに似た形式に変換して-dec.capファイルに出力します。これにより、多くのネットワーク解析ツール（特に古いバージョンのWiresharkなど）で、特別な設定なしにIP層以上のプロトコル（TCP, UDP, HTTPなど）を直接解析できるようになります。

しかし、無線LAN特有の情報（信号強度、データレート、リトライ状況など）を分析したい場合は、元の802.11ヘッダーが必要です。その場合は-lオプションを使用します。

airdecap-ng -l -w MyWEPKey capture.cap

-lオプション付きで生成された-dec.capファイルは、Wiresharkで開くと802.11ヘッダー情報を含んだ状態でパケットが表示されます。

Wiresharkとの連携 🤝

airdecap-ngの主な目的は、Wiresharkのようなパケット解析ツールで中身を読めるようにすることです。airdecap-ngで生成された-dec.capファイルは、そのままWiresharkで開くことができます。

Wireshark自体にもWEPやWPA/WPA2の復号機能が内蔵されています（[編集] -> [設定] -> [Protocols] -> [IEEE 802.11] でキーを設定）。しかし、以下のような場合にairdecap-ngが依然として有用です。

• 大量のパケットファイルを処理する場合、事前にairdecap-ngで復号しておくと、Wiresharkでの表示やフィルタリングが軽快になることがあります。
• Wiresharkの復号機能がうまく動作しない、または特定の状況に対応していない場合に代替手段となります。
• コマンドラインベースの自動処理やスクリプトに組み込みやすいです。

また、airdecap-ngの-lオプションを使わない場合、出力ファイルはEthernet形式に近くなるため、無線LANに詳しくない人でもWiresharkで比較的容易に内容を確認できるという利点もあります。

トラブルシューティングと注意点 🤔

• 復号されるパケットが少ない:
  • WEP: キーが間違っているか、受信したパケットの多くが破損している可能性があります。-cオプションで破損パケットを確認できます。
  • WPA/WPA2: キャプチャファイルに完全な4ウェイハンドシェイクが含まれていないか、パスフレーズ/ESSID/PMKが間違っている可能性が高いです。また、ハンドシェイクがキャプチャできたとしても、そのハンドシェイクを行ったクライアントとAP間の、ハンドシェイク完了後のパケットしか復号できません。
• “No networks found, exiting.” というエラー: キャプチャファイルに認識可能な無線LANパケットが含まれていないか、ファイル形式がairdecap-ngでサポートされていない可能性があります。
• ESSIDに特殊文字が含まれる場合: ESSIDにスペース、引用符、その他の特殊文字が含まれる場合は、シェルでの解釈問題を避けるために、ESSID全体をシングルクォート(')またはダブルクォート(")で囲む必要があります。公式ドキュメントでは、特殊文字の扱いについてさらに詳しい説明があります。
• 巨大なキャプチャファイル: 数GBにもなるような巨大なキャプチャファイルを処理すると、多くの時間とシステムリソース（メモリ）を消費する可能性があります。可能であれば、キャプチャ段階でフィルタリングするか、tcpdumpやeditcapなどのツールでファイルを分割してから処理することを検討してください。

ユースケース：どんな時に役立つか？ 🤔

airdecap-ngは、無線LANのセキュリティと運用において、様々なシナリオで役立つツールです。

• ネットワークセキュリティ監査:

  企業や組織が自社の無線LANのセキュリティ強度を評価する際に使用されます。（もちろん、適切な許可を得て実施する必要があります）。WEPがまだ使用されていないか、WPA/WPA2のパスフレーズが容易に推測可能なものでないかなどを確認するために、実際にトラフィックをキャプチャし、既知の（またはテスト用の）キーで復号を試み、通信内容を検査します。これにより、平文で機密情報が流れていないか、意図しない通信が行われていないかなどを確認できます。

• ネットワークトラブルシューティング:

  無線LAN経由での通信で問題が発生している場合（例: 特定のアプリケーションが動作しない、通信が遅いなど）、暗号化されたパケットを復号して内容を分析することで、問題の原因究明に役立つことがあります。例えば、特定のプロトコルのパケットが欠落している、予期せぬエラーメッセージが送受信されている、といった状況を把握できます。

• フォレンジック調査:

  セキュリティインシデント（不正アクセス、マルウェア感染など）が発生した場合、調査の一環として、インシデント発生時間帯にキャプチャされた無線LANトラフィックを復号し、不正な通信の証拠を探すために使用されることがあります。攻撃者がどのような通信を行っていたか、どのような情報が漏洩した可能性があるかなどを分析します。

• 教育および学習目的:

  サイバーセキュリティやネットワーク技術を学ぶ学生や専門家にとって、airdecap-ngは無線LANの暗号化と復号の仕組み、パケット構造、プロトコルの動作などを実践的に理解するための貴重なツールです。自分でテスト環境を構築し、キャプチャ、キー解析、復号、パケット分析という一連の流れを体験することで、座学だけでは得られない深い知識を習得できます。

• 無線侵入テスト (Penetration Testing):

  ペネトレーションテスターは、クライアントの許可のもと、無線LAN環境の脆弱性を評価するためにairdecap-ngを含むAircrack-ngスイートを使用します。キーのクラック後、トラフィックを復号してネットワーク内部の情報を探ったり、さらなる攻撃の足がかりを探したりします。

これらのユースケースにおいて、airdecap-ngは暗号化という壁を取り払い、無線LAN通信の「中身」を可視化するための重要なステップを提供します。

⚠️ 倫理的な考慮事項と法的遵守 ⚠️

airdecap-ngを含むAircrack-ngスイートは、非常に強力なツールであり、無線LANのセキュリティ評価やトラブルシューティングに役立つ一方で、悪用される危険性も伴います。 このツールを使用する際には、以下の倫理的および法的な側面を厳守する必要があります。

• 目的の明確化: ツールを使用する前に、その目的が正当なもの（自己ネットワークのテスト、許可された監査、教育環境での実験など）であることを確認してください。
• プライバシーの尊重: たとえ復号が許可されたネットワークであっても、通信内容には個人情報や機密情報が含まれる可能性があります。取得した情報の取り扱いには最大限の注意を払い、不要になったデータは適切に削除してください。
• 影響の考慮: ネットワークにアクティブな操作（例: aireplay-ngによる認証解除攻撃）を行う場合は、他の正当なユーザーの通信を妨害しないよう、細心の注意を払ってください。
• 責任ある使用: ツールの能力と潜在的なリスクを理解し、責任ある態度で使用することが求められます。

技術的な知識やツールを持つことには、それに見合った責任が伴います。airdecap-ngの強力な機能を、常に合法的かつ倫理的な範囲内で活用してください。

まとめ

airdecap-ngは、Aircrack-ngスイートの中でも特に、暗号化された無線LANトラフィックの内容を解き明かす上で重要な役割を担うツールです。WEPやWPA/WPA2で保護された.capファイルと、対応する正しいキー（WEPキーまたはWPA/WPA2パスフレーズ/PMK）があれば、暗号化されたパケットを復号し、Wiresharkなどのツールで分析可能な形式に変換することができます。

特にWPA/WPA2の復号においては、キャプチャファイル内に完全な4ウェイハンドシェイクが含まれていることが不可欠である点を理解しておく必要があります。

このツールは、ネットワークのセキュリティ監査、トラブルシューティング、フォレンジック調査、そして教育目的など、多岐にわたる分野で活用されます。しかし、その強力さゆえに、使用には倫理観と法的遵守が強く求められます。常に自身が管理するか、明示的な許可を得たネットワークに対してのみ使用し、プライバシーに配配慮することが重要です。

airdecap-ngを正しく理解し、責任を持って使用することで、無線LAN通信の透明性を高め、より安全なネットワーク環境の構築に貢献することができます。🕵️‍♂️💻

参考情報

より詳細な情報や最新情報については、以下の公式リソースを参照してください。

• airdecap-ng Documentation (Official Aircrack-ng Wiki) – Aircrack-ng公式Wikiのairdecap-ng解説ページです。（英語）
• Aircrack-ng – airdecap-ng (Kali Linux Tools) – Kali Linux Toolsに含まれるaircrack-ngスイートの解説ページの一部です。（英語）
• Aircrack-ng Official Website – Aircrack-ngスイート全体の公式サイトです。（英語）