kstats 徹底解説：Aircrack-ng スイートの隠れた統計ツール

kstatsは、Aircrack-ngスイートに含まれるコマンドラインツールの一つです。その主な目的は、WEP (Wired Equivalent Privacy) 暗号化で使用される初期化ベクトル (IV: Initialization Vector) の統計情報を表示することです。具体的には、特定のWEPキー候補に対して、キャプチャされたIVS (Initialization Vector Set) ファイル内の各IVが、FMS (Fluhrer, Mantin, Shamir) 攻撃アルゴリズムにおいてどの程度の「票 (vote)」を獲得しているかを示します。

FMS攻撃は、WEPの脆弱性を突いてキーを解読する古典的な手法の一つです。この攻撃では、特定のパターンを持つ「弱いIV (weak IVs)」を収集し、それらの情報からキーの各バイトを推測します。kstatsは、この推測プロセスが内部でどのように進行しているかを可視化するためのツールと言えます。

Aircrack-ngの公式ドキュメント (2018年6月18日時点の情報) によると、kstatsは指定されたWEPキーに対するFMSアルゴリズムの票を表示するために設計されたツールであると説明されています。表示対象となるIVSダンプは、airodump-ngとivstools (または aircrack-ng 自体) の組み合わせで取得・処理できます。

簡単に言えば、kstatsはWEPキー解析の「舞台裏」を覗き見るためのツールであり、特定のキー候補がどれだけ確からしいかを、FMSアルゴリズムの観点から統計的に評価するのに役立ちます。

kstatsは独立したツールではなく、Aircrack-ngスイートの一部として提供されています。したがって、Aircrack-ngをインストールすれば、通常はkstatsも一緒に利用可能になります。

Kali Linuxなどのペネトレーションテスト用ディストリビューションを使用している場合、Aircrack-ngスイートは標準でインストールされていることが多いです。もしインストールされていない場合や、他のLinuxディストリビューション、あるいはWindowsやmacOSで使用する場合は、Aircrack-ngの公式サイトからダウンロードしてインストールする必要があります。

kstatsを使用するための主な前提条件は以下の通りです。

• Aircrack-ng スイートのインストール: kstats 本体が含まれています。
• IVS ファイル: WEPで暗号化された通信をキャプチャし、IVを含むデータが保存されたファイルが必要です。これは通常、airodump-ngを使用して生成された.capファイルや、それをivstoolsまたはaircrack-ngで変換した.ivsファイル形式です。
  補足: ivstoolsもAircrack-ngスイートに含まれるツールで、.capファイルからIVSを抽出して.ivsファイルを作成したり、複数の.ivsファイルをマージしたりする機能があります。ただし、aircrack-ng自体も直接.capファイルを読み込めるため、ivstoolsの利用が必須ではありません。
• WEP キー候補: kstatsは、指定されたWEPキー候補に基づいて統計情報を表示するため、分析したいキー（通常は16進数形式）が必要です。これは、aircrack-ngがキー解析の過程で見つけた候補キーかもしれませんし、自分で特定のキーをテストしたい場合もあるでしょう。

これらの準備が整っていれば、kstatsコマンドを実行してIVSファイルの統計分析を開始できます。

kstatsの基本的なコマンド構文は以下の通りです。

kstats <key> <ivs file>

• <key>: 分析対象のWEPキー候補を16進数形式で指定します。バイト間の区切り文字（例: AA:BB:CC...）はあってもなくても構いません。
• <ivs file>: 分析するIVSデータが含まれるファイル（通常は.ivsまたは.capファイル）へのパスを指定します。

例えば、WEPキー候補として11:22:33:44:55を、キャプチャファイルとしてcapture-01.ivsを使用する場合、コマンドは次のようになります。

kstats 1122334455 capture-01.ivs

または

kstats 11:22:33:44:55 capture-01.ivs

kstatsには、いくつかのオプションがありますが、一般的に利用可能なドキュメントやヘルプ情報が限られています。Aircrack-ngスイートに含まれる他のツールほど多機能ではありません。通常、オプションなしで使用されることが多いです。

もし利用可能なオプションがあれば、kstats --helpやman kstats（もしmanページが存在すれば）で確認できますが、提供されていない可能性もあります。

kstatsを実行すると、指定されたWEPキー候補とIVSファイルに基づいて、FMS攻撃アルゴリズムに関連する統計情報が出力されます。出力形式は通常、テキストベースで、キーの各バイトに対応する情報が表示されます。

典型的な出力には以下のような情報が含まれる可能性があります（具体的な形式はバージョンによって異なる場合があります）。

• キーバイトのインデックス: 分析対象のキーの何バイト目に関する情報かを示します (例: Byte 3, Byte 4, …)。
• 投票 (Votes): そのキーバイトの値として、各可能な値（0x00から0xFF）がどれだけの「票」を獲得したかを示します。FMS攻撃では、弱いIVから得られる情報を使って、キーバイトの最も確からしい値を推測します。この「票」が多いほど、その値が正しいキーバイトである可能性が高いとアルゴリズムは判断します。
• 最も可能性の高い値 (Most Probable Value): 各キーバイトについて、最も多くの票を獲得した値とその票数が表示されることがあります。
• 合計IV数 (Total IVs): 分析に使用されたIVの総数。
• 弱いIV数 (Weak IVs): 収集された弱いIVの数。

以下は、出力の仮想的な例です（実際の出力とは異なる可能性があります）。

Analyzing capture-01.ivs with key 1122334455...
Found 5000 IVs, 1200 weak IVs analyzed.
Keybyte 3: Votes: 0x00: 5 0x01: 12 ... 0x33: 850 <-- Most probable value ... 0xFF: 3 Most probable value: 0x33 (850 votes)
Keybyte 4: Votes: 0x00: 8 ... 0x44: 910 <-- Most probable value ... 0xFF: 6 Most probable value: 0x44 (910 votes)
... (続く) ...

この出力から、例えばキーの3バイト目（インデックスは0から始まる場合が多いので注意）は0x33である可能性が最も高く、4バイト目は0x44である可能性が最も高い、といった情報を読み取ることができます。指定したキー候補 (1122334455) が正しければ、対応するバイトの票が突出して高くなるはずです。もし指定したキー候補が間違っていれば、票は分散し、突出した値が見られないかもしれません。

このツールは、aircrack-ngが内部で行っているWEPキー解析プロセスの一部を可視化し、特定のキー候補の妥当性を評価するのに役立ちます。特に、aircrack-ngがキーを見つけるのに苦労している場合や、複数のキー候補が存在する場合に、どの候補がより有望かを追加的に判断する材料になるかもしれません。

kstatsはやや特殊なツールであり、日常的な無線LAN解析で頻繁に使われるものではありません。しかし、以下のような特定のシナリオでは役立つ可能性があります。

1. WEPキー解析の学習・デバッグ:

   FMS攻撃などのWEPクラッキングアルゴリズムがどのように機能するかを理解しようとしている場合、kstatsは内部の「投票」プロセスを可視化する良い教材となります。自分で用意したテスト環境でWEP通信をキャプチャし、既知のキーやaircrack-ngが見つけたキー候補を使ってkstatsを実行することで、アルゴリズムの動作を観察できます。

2. Aircrack-ng のキー候補の検証:

   aircrack-ngによるWEPキー解析が完了した際、見つかったキーが本当に正しいか、あるいはどの程度の確信度で特定されたかを確認したい場合があります。kstatsを使ってそのキー候補の投票状況を見ることで、各バイトが高い票数を獲得しているかを確認し、キーの確からしさを補強できます。

   # aircrack-ng がキー 1A:2B:3C:4D:5E を見つけたと仮定
   kstats 1A2B3C4D5E captured_packets.ivs

   Copy
3. 部分的なキー候補の評価:

   十分なIVが集まらず、aircrack-ngが完全なキーを見つけられないものの、いくつかのキーバイトについて高い確信度で候補を特定している場合があります。このような状況で、特定のキー候補（例: 最初の数バイトだけが判明しているキー）をkstatsで分析し、その部分的なキーがどの程度の支持を得ているかを確認することができます。

4. 古いキャプチャファイルの分析:

   過去にWEPが使用されていたネットワークのキャプチャファイルを持っており、その内容を（教育的または法的な目的で）再調査する必要がある場合。kstatsは、当時のキー解析状況を再現・分析する一助となるかもしれません。

ただし、繰り返しますが、WEP自体が時代遅れの技術であり、現代のネットワークセキュリティにおいてはWPA2/WPA3を使用することが強く推奨されます。kstatsの主な価値は、歴史的な技術や攻撃手法の理解を深めるための教育的な側面にあります。

kstatsは、Aircrack-ngスイートに含まれる、WEPキー解析の内部統計（特にFMSアルゴリズムの投票状況）を表示するための特殊なツールです。主な用途は以下の通りです。

• WEPキー解析アルゴリズムの学習と理解。
• aircrack-ngが見つけたWEPキー候補の確からしさの検証。
• 部分的なキー候補や古いキャプチャファイルの分析。

基本的な使い方は kstats <16進キー> <ivsファイル> で、出力から各キーバイトの投票数を確認できます。

注意点

• WEPの脆弱性: kstatsが対象とするWEPは非常に脆弱です。実際のネットワークでは絶対に使用せず、WPA2またはWPA3を使用してください。
• 法的・倫理的側面: 無線LANの解析やセキュリティテストは、必ず自身が管理するネットワーク、または明示的な許可を得たネットワークに対してのみ行ってください。許可なく他人のネットワークを解析することは違法であり、非倫理的です。
• ツールの違い: SolarisやBSD系のOSにあるkstatコマンドと混同しないように注意してください。これらはカーネル統計情報を表示する全く別のツールです。
• 情報の限定性: kstatsに関する公式ドキュメントや情報は限られています。詳細な動作やオプションについては、ソースコードを確認するか、コミュニティで情報を求める必要があるかもしれません。

kstatsはニッチなツールですが、WEP解析の仕組みに深く興味を持つ人にとっては、興味深い洞察を与えてくれるかもしれません。しかし、現代の無線LANセキュリティ実践においては、より新しい技術とツールに焦点を当てるべきでしょう。

• Aircrack-ng 公式サイト Tools ページ: Aircrack-ngスイートに含まれるツール（ivstools, wzcookなど）の簡単な説明があります。（kstats自体の詳細説明は少ない可能性があります）
  https://www.aircrack-ng.org/doku.php?id=tools (最終アクセス: 2025年3月30日 – 2018年6月18日の情報として記載あり)
• Aircrack-ng 公式サイト: スイート全体の情報やダウンロードはこちらから。
  https://www.aircrack-ng.org/ (最終アクセス: 2025年3月30日)