Responderツールスイート: responder-Icmp-Redirect の詳細解説

セキュリティツール
ICMPリダイレクトResponderセキュリティペネトレ中間者攻撃

ネットワークペネトレーションテストにおける強力なツールとその活用法

はじめに:ResponderとICMP Redirect攻撃とは? 🤔

Responderは、主にWindowsネットワーク環境におけるペネトレーションテスト(侵入テスト)で使用される強力なツールスイートです。SpiderLabsによって開発され、LLMNR (Link-Local Multicast Name Resolution)、NBT-NS (NetBIOS Name Service)、mDNS (Multicast DNS)といったプロトコルのポイズニング(偽応答)を行い、ネットワーク上の認証情報(特にNTLMハッシュ)を不正に取得することを目的としています。さらに、偽の認証サーバー(HTTP, SMB, MSSQL, FTP, LDAPなど)を内蔵しており、多様な攻撃シナリオに対応できます。

今回注目する responder-Icmp-Redirect は、Responderツールスイートに含まれるユーティリティの一つで、ICMP Redirect(ICMPリダイレクト)メッセージを悪用した中間者攻撃(Man-in-the-Middle, MitM)を仕掛けるために使用されます。

ICMP (Internet Control Message Protocol) は、IPネットワーク上でエラー通知や制御メッセージを転送するためのプロトコルです。その機能の一つであるICMP Redirectは、ルーターが「特定の宛先に対して、より効率的な経路(別のゲートウェイ)が存在する」ことを同じネットワーク上のホストに通知するために使用されます。通常はネットワークの経路最適化に役立つ機能ですが、認証機能がないため、攻撃者は偽のICMP Redirectメッセージを送信することで、標的ホストのルーティングテーブルを書き換え、通信を攻撃者のマシン経由に誘導することが可能になります。これがICMP Redirect攻撃です。

⚠️ 重要:倫理的利用の徹底

Responderおよび responder-Icmp-Redirect は、システムの脆弱性を評価し、セキュリティ対策を強化するための正規のペネトレーションテストやセキュリティ教育の目的でのみ使用されるべきツールです。許可なく他者のネットワークやシステムに対してこれらのツールを使用することは、重大な法律違反であり、倫理的に許されません。本記事は技術的な解説を目的としており、不正利用を推奨するものではありません。

前提条件と準備 🛠️

responder-Icmp-Redirect を使用するには、以下の環境と知識が必要です。

  • Kali Linuxまたは同様のペネトレーションテスト用OS: Responderツールスイートがプリインストールされているか、容易にインストールできる環境が推奨されます。
  • Responderツールスイート: GitHubリポジトリから最新版を入手するか、OSのパッケージマネージャ経由でインストールします。 (https://github.com/SpiderLabs/Responder)
  • Python環境: ResponderはPythonで書かれています。通常、ペネトレーションテスト用OSには適切なバージョンがインストールされています。
  • ネットワークの基礎知識: IPアドレッシング、サブネット、ゲートウェイ、ルーティング、ICMPプロトコルに関する基本的な理解が必要です。
  • Linuxコマンドライン操作: ターミナルでの基本的なコマンド操作に慣れている必要があります。
  • 管理者権限: ネットワークインターフェースを操作し、Rawソケットを使用するため、通常はroot権限が必要です。

Responder自体は、pip やOSのパッケージマネージャ(例:sudo apt update && sudo apt install responder)でインストールできます。GitHubから直接クローンする場合は、依存関係の解決が必要になることがあります。 

# GitHubからクローンする場合 (例)
git clone https://github.com/SpiderLabs/Responder.git
cd Responder
# 必要に応じて依存関係をインストール (通常は不要な場合が多い)
# sudo pip install -r requirements.txt

ICMP Redirectの仕組みと悪用方法 🤔➡️😈

ICMP Redirect攻撃の仕組みを理解するために、まず正規のICMP Redirectがどのように機能するかを見てみましょう。

  1. あるホスト(例: Host A)が、デフォルトゲートウェイ(例: Router 1)を経由して、特定の宛先(例: Server X)にパケットを送信します。
  2. Router 1はパケットを受信しますが、自身のルーティングテーブルを確認した結果、Server Xへのより効率的な次のホップ(例: Router 2)が、Host Aと同じネットワークセグメント上に存在することを知っています。
  3. この場合、Router 1はパケットをRouter 2へ転送しつつ、Host Aに対して「今後、Server X宛のパケットは、直接Router 2へ送るべき」という情報を含むICMP Redirectメッセージ(タイプ5)を送り返します。
  4. Host Aはこのメッセージを受け取ると、自身のルーティングテーブルに一時的な経路情報(ホストルート)を追加します。Windowsの場合、この情報はデフォルトで約10分間保持されます。
  5. 以降、Host AはServer X宛のパケットを、Router 1を経由せずに直接Router 2へ送信するようになり、ネットワークの効率が向上します。

この仕組みの脆弱性は、ICMP Redirectメッセージに認証がない点です。攻撃者はこの点を悪用し、偽のICMP Redirectメッセージを標的ホストに送りつけます。

  • 攻撃者は、標的ホスト(Victim)に対して、「特定の宛先(例:社内ファイルサーバーやインターネット上の特定のサーバー、あるいはデフォルトゲートウェイ自体)への通信は、攻撃者のマシン(Attacker)を経由するように」という偽のICMP Redirectメッセージを送信します。
  • 標的ホストがこの偽メッセージを受け入れ、ルーティングテーブルを変更すると、本来の宛先に向かうはずだった通信が、攻撃者のマシンを経由するようになります。
  • 攻撃者は、自身のマシンを通過する通信を監視・傍受(盗聴)したり、改ざんしたりすることが可能になります(中間者攻撃)。
  • 特に、Responderの他の機能(偽SMBサーバーなど)と組み合わせることで、認証情報(NTLMハッシュなど)を窃取することが主な目的となります。例えば、ファイルサーバーへのアクセスをリダイレクトさせ、偽のSMBサーバーで認証プロンプトを表示させてハッシュを取得する、といったシナリオが考えられます。

ただし、多くのモダンなOS(特にLinuxディストリビューション)や、セキュリティが強化された環境では、デフォルトでICMP Redirectメッセージを無視するように設定されている場合があります。Windows XPやServer 2003のような古いOSではデフォルトで有効でしたが、新しいバージョンでは無効化されているか、より制限されています。また、ルーターやファイアウォール側でICMP Redirectメッセージの送受信を禁止する設定も一般的です。Appleは2017年のiOS 8.3のアップデートで、ICMPリダイレクトをデフォルトで無効にする修正を行いました。これは、ネットワーク上で特権的な地位を持つ攻撃者によってユーザートラフィックがリダイレクトされる可能性があったためです。

responder-Icmp-Redirect の使い方 👨‍💻

responder-Icmp-Redirect は、Responderのインストールディレクトリ内の tools サブディレクトリに配置されています。通常、Pythonスクリプトとして直接実行します。

基本的なコマンド構文は以下のようになります(root権限が必要です):

sudo python /path/to/responder/tools/Icmp-Redirect.py [オプション]

または、Responderのパスが通っていれば、直接コマンド名で実行できる場合もあります。

sudo responder-Icmp-Redirect [オプション]

主要なオプション

responder-Icmp-Redirect -h または --help で利用可能なオプションを確認できます。

オプション 必須/任意 説明
-i <IPアドレス>
--ip=<IPアドレス>		 必須 トラフィックのリダイレクト先IPアドレス。通常は攻撃者自身のIPアドレスを指定します。 -i 192.168.1.100
-g <IPアドレス>
--gateway=<IPアドレス>		 必須 標的ホストが本来使用しているゲートウェイのIPアドレス。標的ホスト上で route -n (Linux) や route print (Windows) コマンドで確認できます。 -g 192.168.1.1
-t <IPアドレス>
--target=<IPアドレス>		 必須 攻撃対象となるホスト(Victim)のIPアドレス。 -t 192.168.1.50
-r <IPアドレス>
--route=<IPアドレス>		 必須 リダイレクトの対象となる通信先のIPアドレス。通常は標的ホストとは異なるサブネットのアドレスを指定します(例:DNSサーバー、ファイルサーバーなど)。 -r 8.8.8.8
-s <IPアドレス>
--secondaryroute=<IPアドレス>		 任意 リダイレクトの対象となる二つ目の通信先IPアドレス(オプション)。 -s 8.8.4.4
-I <インターフェース名>
--interface=<インターフェース名>		 必須 攻撃に使用するネットワークインターフェースの名前。 -I eth0
-a <IPアドレス>
--alternate=<IPアドレス>		 任意 代替ゲートウェイアドレス。標的のトラフィックを攻撃者自身ではなく、別のホストにリダイレクトさせたい場合に指定します。 -a 192.168.1.101

実行例

以下の例は、攻撃者(IP: 192.168.1.100, Interface: eth0)が、標的ホスト(Victim, IP: 192.168.1.50)のデフォルトゲートウェイ(192.168.1.1)を経由してGoogle Public DNS(8.8.8.8)への通信を、攻撃者自身のマシンにリダイレクトさせる場合のコマンドです。 

sudo python /path/to/responder/tools/Icmp-Redirect.py -I eth0 -i 192.168.1.100 -g 192.168.1.1 -t 192.168.1.50 -r 8.8.8.8

実行後の挙動

このコマンドを実行すると、responder-Icmp-Redirect は指定された標的ホスト(-t)に対して、指定された宛先(-r, -s)への通信は、指定されたリダイレクト先IP(-i または -a)を経由するように指示する偽のICMP Redirectメッセージを送信します。メッセージは、元のゲートウェイ(-g)から送られたように偽装されます。

標的ホストがこのメッセージを受け入れれば、そのルーティングテーブルが一時的に変更され、指定された宛先への通信がリダイレクトされます。攻撃者は、自身のマシンでパケットキャプチャツール(Wiresharkなど)や、Responder本体の偽サーバー(SMB, HTTPなど)を起動しておくことで、リダイレクトされた通信から情報を窃取しようとします。

注意点:

  • Windowsホストの場合、このリダイレクト効果は通常10分程度で失効するため、継続的な攻撃には定期的にコマンドを再実行する必要があります。
  • 攻撃を成功させるためには、攻撃者のマシンでIPフォワーディングを有効にし、必要に応じてiptablesなどのファイアウォールルールを設定して、リダイレクトされたトラフィックを適切に処理(傍受または元の宛先に転送)する必要があります。Responderのヘルプメッセージには、iptablesを使ってDNSクエリ(UDPポート53)を攻撃者自身に転送する例が示されています。
# 例: DNSクエリを自身のポート53に転送する場合 (攻撃者のIPが $OURIP, 標的のDNSサーバーが $ToThisHost)
sudo iptables -t nat -A PREROUTING -p udp --dst $ToThisHost --dport 53 -j DNAT --to-destination $OURIP:53
# ICMPエラーメッセージによる攻撃検知を防ぐために、自身のICMP出力を止めることも推奨される場合がある
# sudo iptables -A OUTPUT -p icmp -j DROP

これらの設定は攻撃シナリオに応じて調整が必要です。

攻撃シナリオ例 🎭

responder-Icmp-Redirect は、他のツールや手法と組み合わせて使用されることが一般的です。以下に典型的なシナリオを示します。

  1. 準備: 攻撃者は標的ネットワークに接続し、自身のIPアドレス、標的ホストのIPアドレス、デフォルトゲートウェイのアドレス、そしてリダイレクトしたい通信の宛先IPアドレス(例:社内ファイルサーバーや外部DNSサーバー)を特定します。
  2. Responder本体の起動: 攻撃者は、自身のマシンでResponder本体(responder -I eth0 -v など)を起動し、偽のSMBサーバーやHTTPサーバーなどを待ち受け状態にします。これにより、認証情報を要求するサービスを偽装します。
  3. ICMP Redirect攻撃の実行: 攻撃者は responder-Icmp-Redirect を使用して、標的ホストに対して、ファイルサーバーや特定のWebサイトへの通信を攻撃者のマシンにリダイレクトするように偽のICMP Redirectメッセージを送信します。 
    # 例: ファイルサーバー(192.168.10.20)への通信をリダイレクト
sudo responder-Icmp-Redirect -I eth0 -i 192.168.1.100 -g 192.168.1.1 -t 192.168.1.50 -r 192.168.10.20
  4. 認証情報の窃取: 標的ホストがリダイレクトを受け入れ、ファイルサーバーなどにアクセスしようとすると、その通信は攻撃者のマシンに送られます。攻撃者のマシンで動作しているResponderの偽SMBサーバーなどが応答し、認証(ユーザー名とパスワード/ハッシュ)を要求します。ユーザーが認証情報を入力すると、Responderがそれを記録します。
  5. 後処理: 攻撃者は取得した認証情報(特にNTLMv2ハッシュ)を、オフラインでのパスワードクラッキングツール(Hashcatなど)で解析したり、他の攻撃(Pass-the-Hashなど)に利用したりします。

この攻撃は、特にLLMNR/NBT-NSポイズニングが対策されているネットワークや、特定のサービスへのアクセスをピンポイントで狙いたい場合に有効な手段となり得ます。

検知と対策(防御策)🛡️

ICMP Redirect攻撃は古典的な手法ですが、依然として特定の環境では有効な場合があります。この攻撃を検知し、防御するための対策は以下の通りです。

検知方法

  • ネットワーク監視システム (NMS) / Intrusion Detection System (IDS) / Intrusion Prevention System (IPS): ネットワーク上の異常なICMP Redirectメッセージの発生を監視します。特定のホストから短時間に多数のICMP Redirectが送信されている場合や、本来ゲートウェイではないホストからRedirectメッセージが送信されている場合は、攻撃の兆候である可能性があります。
  • ホストログの監視: ホスト側のシステムログやセキュリティログで、ルーティングテーブルが予期せず変更された記録がないか確認します。
  • パケットキャプチャ: Wiresharkなどのツールでネットワークトラフィックをキャプチャし、ICMPタイプ5のパケットを確認します。送信元IPアドレスやメッセージ内のゲートウェイアドレスが正当なものか検証します。

防御策

  • ホストでのICMP Redirect受信無効化: 最も直接的で効果的な対策の一つです。多くのOSでは、カーネルパラメータやレジストリ設定でICMP Redirectメッセージを無視するように設定できます。これは、ほとんどの現代的なネットワーク環境ではICMP Redirectが必須ではないため、推奨される設定です。
    • Linux: sysctl コマンドや /etc/sysctl.conf ファイルで net.ipv4.conf.all.accept_redirects = 0 および net.ipv4.conf.default.accept_redirects = 0 を設定します。IPv6の場合は net.ipv6.conf.all.accept_redirects = 0net.ipv6.conf.default.accept_redirects = 0 を設定します。
    • Windows: レジストリエディタ (regedit) で HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters キーにある EnableICMPRedirect (DWORD値) を 0 に設定します(存在しない場合は作成)。インターフェースごとに設定が必要な場合もあります。
  • ルーター/スイッチでのICMP Redirect送信無効化: ネットワーク機器(ルーターやL3スイッチ)の設定で、不要なICMP Redirectメッセージを送信しないように設定します。Cisco IOSなどでは no ip redirects コマンドをインターフェースに適用します。HSRPやVRRPなどの冗長化プロトコルを使用している場合、自動的に無効化されることが多いですが、確認が必要です。
  • ファイアウォールでのフィルタリング: ネットワーク境界や内部セグメント間のファイアウォールで、信頼できないソースからのICMP Redirectメッセージ(ICMPタイプ5)をブロックします。
  • セキュアなルーティングプロトコルの使用: OSPFやBGPなどのルーティングプロトコルを使用する場合は、認証機能を有効にして、不正なルーターが経路情報を注入するのを防ぎます。
  • ネットワークセグメンテーション: ネットワークを適切にセグメント化し、VLANなどを用いてブロードキャストドメインを分割することで、攻撃の影響範囲を限定します。
  • エンドポイントセキュリティの強化: EDR (Endpoint Detection and Response) ソリューションを導入し、不審なプロセスの実行や設定変更を検知・ブロックします。
  • LLMNR/NBT-NSの無効化: ICMP Redirect攻撃はしばしばLLMNR/NBT-NSポイズニングと組み合わせて使われるため、これらのレガシーな名前解決プロトコルが不要であれば無効化することが推奨されます。

これらの対策を組み合わせることで、ICMP Redirect攻撃のリスクを大幅に低減できます。特に、ホスト側でICMP Redirectの受信を無効化することが基本かつ効果的な対策となります。

倫理的な考慮事項と法的側面 ⚖️

繰り返しになりますが、Responderおよび responder-Icmp-Redirect は、使い方によっては深刻な被害を引き起こす可能性のある強力なツールです。これらのツールを使用する際には、以下の点を絶対に遵守してください。

  • 許可なき使用の禁止: 自分自身が所有または管理するネットワーク、あるいは明確な書面による許可を得たネットワークに対してのみ、テストを実施してください。顧客や他者のネットワークに対して無断でテストを行うことは、不正アクセス禁止法などの法律に抵触する犯罪行為です。
  • 目的の明確化: テストの目的は、システムの脆弱性を発見し、セキュリティを向上させることに限定されるべきです。情報の窃取、サービスの妨害、その他の悪意ある目的での使用は決して許されません。
  • 影響範囲の抑制: テストを行う際は、対象システムやネットワークへの影響を最小限に抑えるよう注意深く計画し、実行する必要があります。特に本番環境でのテストは、事前の十分な評価と承認、そして関係者への通知が必要です。
  • 情報の適切な管理: テストによって得られた脆弱性情報や認証情報などは、厳重に管理し、許可された関係者以外に漏洩しないようにしなければなりません。
  • 法的・契約的義務の遵守: 居住する国や地域の法律、所属する組織の規定、顧客との契約などを遵守してください。

セキュリティ専門家やペネトレーションテスターは、高い倫理観を持って行動することが求められます。ツールの使い方を学ぶことは重要ですが、それ以上に、その力を責任を持って使用することの重要性を理解する必要があります。安易な興味本位での使用は絶対に避け、常に法と倫理の範囲内で行動してください。

まとめ ✨

responder-Icmp-Redirect は、Responderツールスイートの一部として提供される、ICMP Redirectメッセージを悪用した中間者攻撃を行うためのユーティリティです。ネットワーク経路の最適化を目的とした正規のプロトコル機能を逆手に取り、標的ホストの通信を攻撃者のマシン経由に誘導することで、認証情報の窃取などを狙います。

この攻撃は、特に古いWindows環境や、ICMP Redirectに対する対策が施されていないネットワークで有効な場合があります。しかし、現代の多くの環境では、OSやネットワーク機器のデフォルト設定、あるいは意図的な設定変更により、ICMP Redirectメッセージは無視またはブロックされることが多くなっています。

防御策としては、ホストOSでのICMP Redirect受信の無効化、ネットワーク機器での送信無効化、ファイアウォールでのフィルタリングなどが有効です。

responder-Icmp-Redirect を含むResponderツールスイートは、ペネトレーションテストにおいて非常に有用ですが、その強力さゆえに悪用されるリスクも伴います。これらのツールを使用する際は、必ず法と倫理を遵守し、許可された範囲内で、セキュリティ向上という本来の目的のためにのみ活用するようにしてください。 🙏

参考情報

コメント

タイトルとURLをコピーしました