暗号化トラフィック分析 あんごうかとらふぃっくぶんせき
簡単に言うとこんな感じ!
手紙の中身は読めなくても「封筒の大きさ・送り先・到着時間」でだいたい何を送ったか推測できるよね。暗号化トラフィック分析は、それと同じ発想!通信の中身は見ずに、パケットのサイズや間隔・宛先といった「外側の情報」だけで不審な通信を見つけ出す技術なんだ。
暗号化トラフィック分析とは
近年、企業の通信の大半は TLS(Transport Layer Security) などの暗号化プロトコルで守られています。これ自体は悪いことではありませんが、攻撃者もその「暗号の壁」を利用して、マルウェアの通信やデータ窃取を正規の通信に紛れ込ませるようになりました。従来型のセキュリティ機器(ファイアウォールや IDS)は通信の中身を検査して脅威を見つけるため、暗号化された通信に対してはほぼ無力になってしまいます。
暗号化トラフィック分析(Encrypted Traffic Analysis、ETA) は、通信の「中身(ペイロード)」を復号せずに、パケットのサイズ・送受信タイミング・接続先IPアドレス・TLSハンドシェイクの特徴 など、通信の「外側」から読み取れるメタデータだけを統計的・機械学習的に分析して、脅威を検出する技術です。
プライバシーを侵害せずにセキュリティを確保できる点が最大の特徴で、Ciscoが提唱した ETA(Encrypted Traffic Analytics)をはじめ、多くのNDR(Network Detection and Response)製品やクラウドセキュリティ基盤に組み込まれています。「中身を見ない」のに「怪しさがわかる」 という、一見矛盾したアプローチです。
分析に使うメタデータの種類
暗号化トラフィック分析が着目する情報は、暗号化されていない「外側」の情報です。
| メタデータの種類 | 具体例 | 何がわかるか |
|---|---|---|
| パケットの長さと到着間隔(SPLT) | 最初の数パケットのバイト数の系列 | アプリ・プロトコルの種類 |
| バイトの分布(BD) | パケット内バイト値のヒストグラム | 暗号方式・エントロピーの特徴 |
| TLSハンドシェイク情報 | Cipher Suite・拡張・証明書の有効期限 | 正規ソフトかマルウェアかの判別 |
| DNS・SNI情報 | ドメイン名・サブドメインの長さと乱雑さ | DGAドメインの検出 |
| フロー統計 | 通信時間・転送量・接続先ポート | C2通信・データ持ち出しの兆候 |
| TLSフィンガープリント(JA3など) | TLSクライアントの特徴値のハッシュ | マルウェアファミリーの識別 |
TLSフィンガープリント(JA3)とは
JA3 は、TLSハンドシェイク時に送られる「ClientHelloメッセージ」の中に含まれる複数のフィールド(TLSバージョン・Cipher Suite・拡張の種類など)を組み合わせてMD5ハッシュ化した文字列です。同じツールやマルウェアは同じJA3値を生成する傾向があるため、「このJA3値は既知のマルウェアと一致する」という形で検知に使えます。
ClientHello の構成フィールド
┌──────────────────────────────────────────────────────┐
│ TLSバージョン + Cipher Suites + Extensions │
│ + Elliptic Curves + Elliptic Curve Point Formats │
└──────────────────────────────────────────────────────┘
↓ カンマ区切りで連結
"771,49196-49200-159...,0-23-65281...,29-23...,0"
↓ MD5ハッシュ
"a0e9f5d64349fb13191bc781f81f42e1" ← JA3値覚え方
「暗号化トラフィック分析 = 消印・封筒・配達時間は見るけど、手紙は開けない宅配便の検査」と覚えましょう。中身を開けなくても、「深夜2時に海外の見知らぬ住所へ、毎日同じサイズの荷物を送り続けている」とわかれば十分怪しいですよね。
歴史と背景
- 2013年頃 — Edward Snowdenによる暴露事件を機に、エンドツーエンド暗号化の採用が世界的に加速。企業トラフィックに占める暗号化通信の割合が急増し始める
- 2015年 — Googleの統計で「Google向けトラフィックの過半数がHTTPS化」を達成。業界全体の暗号化促進の転換点に
- 2016年 — JA3フィンガープリンティング手法がJohn Althouse・Jeff Atkinson・Josh Silbermanにより考案・公開(“JA3” は3人のイニシャル)
- 2017年 — Ciscoが ETA(Encrypted Traffic Analytics)の概念を正式に提唱。機械学習を使った暗号化トラフィック分析をネットワーク機器に組み込む方針を発表
- 2018年 — IETF が TLS 1.3 を標準化(RFC 8446)。Forward Secrecy が必須化され、中間者による復号が事実上不可能になり ETA の重要性がさらに高まる
- 2019年以降 — NDR(Network Detection and Response)製品が ETA を標準機能として搭載。マイクロソフト・Palo Alto・Darktrace なども同様のアプローチを採用
- 2022年以降 — QUIC(HTTP/3)の普及により、従来の TCP ベースの分析手法だけでは対応が困難になり、QUICトラフィック分析の研究が活発化
関連技術・アプローチの比較
暗号化通信を「どう扱うか」という観点で、主要なアプローチを比較します。
ETAが特に有効なケース
- マルウェアのC2(Command and Control)通信検出 — マルウェアが外部サーバーへ定期的に小さなパケットを送る「ビーコン通信」はタイミングのパターンで検出しやすい
- データ窃取の検出 — 大量のデータが暗号化されて社外へ送出されると、転送量・時間帯・宛先の異常として検知できる
- ランサムウェアの初期侵害検出 — ランサムウェアが使うTLSフィンガープリント(JA3値)が既知の場合、感染前に通信を遮断できる
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 8446 | TLS 1.3 の標準仕様。Forward Secrecyが必須化されETAの重要性を高めた |
| RFC 8701 | TLS ClientHelloのグリース(GREASE)。JA3フィンガープリンティングへの影響に関連 |
| RFC 9000 | QUIC(HTTP/3)の基本仕様。QUICトラフィックの分析はETAの新たな課題 |
| RFC 8484 | DNS over HTTPS(DoH)。DNSクエリの暗号化がトラフィック分析の難易度を上げる |
関連用語
- TLS(Transport Layer Security) — インターネット通信を暗号化する代表的なプロトコル
- ゼロトラストセキュリティ — 「社内=安全」を前提にしない現代型セキュリティモデル
- NDR(Network Detection and Response) — ネットワーク通信を監視して脅威を検知・対応するセキュリティ製品カテゴリ
- マルウェア — ウイルス・ランサムウェアなど悪意あるソフトウェアの総称
- C2サーバー(Command and Control) — マルウェアが攻撃者から命令を受け取るための通信先サーバー
- ファイアウォール — ネットワークの出入口で通信を制御するセキュリティ機器
- IDS/IPS — ネットワーク上の不審な通信を検知・防御するシステム
- QUIC(HTTP/3) — Googleが開発したUDPベースの次世代通信プロトコル