無線LANの Probe Request というものから得られる情報の紹介（2013年夏休み自由研究）

1. WiFi による
モダン
ネットストーキング
2013夏休み自由研究
Akira KUMAGAI
@tinbotu
14年9月19日金曜日

2. あとでデモをします
• 個人を直接特定可能な情報はありません
• 間接的には特定の材料になり得るかも
• 同意いただけない場合は WiFi デバイスの
電源を切ってください
14年9月19日金曜日

3. デモの対象になるよ
14年9月19日金曜日

4. WiFi のしくみ
1. クライアント(子機) が AP(親機) を探す
2. クライアントが AP の一覧を表示
3. ユーザが AP を選択
4. 認証
5. 接続完了
14年9月19日金曜日

5. AP一覧を表示
14年9月19日金曜日

6. ユーザがAPを選択
14年9月19日金曜日

7. パスワード入力
14年9月19日金曜日

8. パスワード入力
初回だけだろ
14年9月19日金曜日

9. WiFi のしくみ(2)
1. クライアント(子機) が AP(親機) を探す
2. 記憶している APがあれば
3. 記憶しているパスワードで認証
4. 接続完了
14年9月19日金曜日

10. WiFi のしくみ(2)
1. クライアント（子機）が AP を探す
2. 記憶している全AP自があ動
れば
3. 記憶しているパスワードで認証
4. 接続完了
14年9月19日金曜日

11. もう少し詳しく
14年9月19日金曜日

12. 端末は親機がないと
接続できない
14年9月19日金曜日

13. 端末がAP(親機)の存在を知る方法は2つ
• APが定期放送しているビーコン*1
• アクティブな検出要求*2
*1 IEEE802.11 00/1000 Beacon Frame, MAC(APのBSSID), SSID, Capability, BI, TIM などを特定のチャネルにて通常20～500ms間隔で送信
*2 IEEE802.11 00/0100 Probe Request, MAC(端末のMACアドレス), SSID(空ならブロードキャスト)
IEEE802.11 00/0101 Probe Response, 大体ビーコンと同じ情報量を特定の端末へ応答
14年9月19日金曜日

14. (1) APは通信がないときも
自分のSSIDなどを定期的に放送している
これをBeacon(ビーコン) と呼びます
14年9月19日金曜日

15. IEEE802.11 Probe Request
(2) 検出要求を積極的に送信し、APからの応
答があれば AP を認識できる
14年9月19日金曜日

16. IEEE802.11 Probe Request
(2) 検出要求を積極的に送信し、APからの応
答があれば AP を認識できる
AP 検出要求 (Probe Request)
「AP 誰かいますか」
14年9月19日金曜日

17. IEEE802.11 Probe Request
(2) 検出要求を積極的に送信し、APからの応
答があれば AP を認識できる
AP 検出要求 (Probe Request)
「AP 誰かいますか」
AP 検出応答 (Probe Response)
「はい 俺の名は”MyHomeBuffalo”」
14年9月19日金曜日

18. 14年9月19日金曜日

19. 端末(子機)はビーコン(1)を受信するか、
または 検出要求を積極的に送信し (2)、APから
の応答があれば AP を認識できる
14年9月19日金曜日

20. 端末(子機)はビーコン(1)を受信するか、
または 検出要求を積極的に送信し (2)、APから
の応答があれば AP を認識できる
または？
14年9月19日金曜日

21. 端末(子機)はビーコン(1)を受信するか、
または 検出要求を積極的に送信し (2)、APから
の応答があれば AP を認識できる
または？
検出要求(Probe Request)って何よ
APがビーコン出してれば存在がわかるじゃん
いらないのでは。
14年9月19日金曜日

22. 検出要求が必要!
14年9月19日金曜日

23. 検出要求が必要!
• 繋ぎたいSSIDが既にわかってるなら、その
SSIDを名指しで検出要求したほうが遙かに
速い(二回目以降の接続とか)
14年9月19日金曜日

24. 検出要求が必要!
• 繋ぎたいSSIDが既にわかってるなら、その
SSIDを名指しで検出要求したほうが遙かに
速い(二回目以降の接続とか)
• WiFi はチャネルがいっぱいあるし、タイ
ミングが悪いとビーコンを受信できない
14年9月19日金曜日

25. 検出要求が必要!
• 繋ぎたいSSIDが既にわかってるなら、その
SSIDを名指しで検出要求したほうが遙かに
速い(二回目以降の接続とか)
• WiFi はチャネルがいっぱいあるし、タイ
ミングが悪いとビーコンを受信できない
• SSIDを隠してるAPはそもそも見えない
14年9月19日金曜日

26. 検出要求が必要!
• 繋ぎたいSSIDが既にわかってるなら、その
SSIDを名指しで検出要求したほうが遙かに
速い(二回目以降の接続とか)
• WiFi はチャネルがいっぱいあるし、タイ
ミングが悪いとビーコンを受信できない
• SSIDを隠してるAPはそもそも見えない
14年9月19日金曜日

27. SSID 名指しで検出要求
14年9月19日金曜日

28. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
14年9月19日金曜日

29. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出応答 (Probe Response)
「はい」
14年9月19日金曜日

30. SSID 名指しで検出要求
はやい
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出応答 (Probe Response)
「はい」
14年9月19日金曜日

31. SSID 名指しで検出要求
はやい
検出ミスもない
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出応答 (Probe Response)
「はい」
14年9月19日金曜日

32. はやいけど
14年9月19日金曜日

33. 問題点
14年9月19日金曜日

34. 問題点
• 子機は自分の居場所がわかってない.
APが無いはずの場所でも Probe Request
する
14年9月19日金曜日

35. 問題点
• 子機は自分の居場所がわかってない.
APが無いはずの場所でも Probe Request
する
• 一度接続記憶させたらしばらくの間
Probe Request を送出し続ける(実装依存)
14年9月19日金曜日

36. たとえば東京～博多を移動します
14年9月19日金曜日

37. たとえば東京～博多を移動します
自宅のAPに対する検出要求は
家を出た瞬間からすべて無駄撃ち
（電池とかの無駄はまあ些末な問題）
14年9月19日金曜日

38. SSID 名指しで検出要求
14年9月19日金曜日

39. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
14年9月19日金曜日

40. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
14年9月19日金曜日

41. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
14年9月19日金曜日

42. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」14年9月19日金曜日

43. SSID 名指しで検出要求
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
このiPhoneがあらゆる出先で
“MyHomeBuffalo”ってのを要求してるようだ
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
AP 検出要求 (Probe Request)
「“MyHomeBuffalo”さんいますか」
14年9月19日金曜日

44. 実際に見てみよう
14年9月19日金曜日

45. 14年9月19日金曜日

46. 自分のノートPC(b8:f6:b1:14:fc:1b)が
iis-visitor ってのを探している
14年9月19日金曜日

47. iis-visitor
どこかのゲスト用WiFiっぽい
14年9月19日金曜日

48. iis-visitor
どこかのゲスト用WiFiっぽい
接続した覚えある
14年9月19日金曜日

49. Probe Request に含まれる内容
14年9月19日金曜日

50. Probe Request に含まれる内容
• 端末のMACアドレス
• 端末が接続したことのある AP の ESSID
（複数かも）
• APのBSSID(MACアドレス)は含まれない
14年9月19日金曜日

51. 14年9月19日金曜日

52. 14年9月19日金曜日

53. このApple製品の所有者はギー水に行ったこと
があってshibuhouseにも行ったことがあって
sinapにも行ったことがあってtakano32さんと
面識があるだろう。
14年9月19日金曜日

54. やばい
14年9月19日金曜日

55. ストーキングへの応用
14年9月19日金曜日

56. ストーキングへの応用
• 完全に受動(passive)なストーキングなので、
端末側では攻撃検知が不可能
14年9月19日金曜日

57. ストーキングへの応用
• 完全に受動(passive)なストーキングなので、
端末側では攻撃検知が不可能
• WiFi が直接届く範囲に行く必要があって、
厳密にはネットストーキングじゃない
14年9月19日金曜日

58. ストーキングへの応用
• 完全に受動(passive)なストーキングなので、
端末側では攻撃検知が不可能
• WiFi が直接届く範囲に行く必要があって、
厳密にはネットストーキングじゃない
• ターゲットの端末のMACアドレスがわから
ないと誰が誰だかわからない
14年9月19日金曜日

59. MACアドレスを知る方法
14年9月19日金曜日

60. MACアドレスを知る方法
ターゲットの端末に直接接触する必要がある…
それが無理なら推測するのみ
14年9月19日金曜日

61. デモ
14年9月19日金曜日

62. 14年9月19日金曜日

63. 他のネタ
• BSSID(MAC) から位置情報を引けるAPI
• ESSID から BSSID を推測し Probe
Request から端末の過去の位置情報を推
測
14年9月19日金曜日

64. 法律的な話
• 電波法 第59条（秘密の保護）
• 何人も法律に別段の定めがある場合を除くほか、特定の相手方に対し
て行われる無線通信（電気通信事業法第4条第1項又は第164条第2項の
通信であ るものを除く。第109条並びに第109条の2第2項及び第3項に
おいて同じ。）を傍受してその存在若しくは内容を漏らし、又はこれ
を窃用してはならない。
14年9月19日金曜日

65. __END__
14年9月19日金曜日