【初心者向けガイド】Wiresharkの使い方!インストールから実践的なパケット解析まで

「Wiresharkの使い方」記事サムネイル

セキュリティやネットワークの学習を始めると、必ず耳にするツール「Wireshark」。しかし、「名前は知っているけど、使い方が難しそう…」と感じている方も多いのではないでしょうか。

Wiresharkは、ネットワーク上を流れるデータを「見える化」してくれる非常に強力なツールです。

本記事では、セキュリティ学習を始めたばかりの初心者の方でも安心して学べるよう、Wiresharkのインストール方法から基本的な使い方、さらには一歩進んだ活用法まで、実際の画面をイメージしながら丁寧に解説します。

この記事を読み終える頃には、あなたもWiresharkを使ってネットワークの謎を解き明かす第一歩を踏み出せているはずです。

誰でも無料で参加できるハッキング体験会の参加者募集中!!

ハッキング体験会告知チラシ
ハッキング体験会の詳細はこちら

Wiresharkとは

サメの背びれ

Wiresharkは、世界で最も広く使われているオープンソースのネットワークプロトコルアナライザです。簡単に言えば、「ネットワーク通信の翻訳機兼虫眼鏡」のようなツールで、PCやスマートフォンがインターネットや他の機器とやり取りしている通信データ(パケット)をリアルタイムで捕獲(キャプチャ)し、その内容を人間が理解できる形で表示してくれます。

元々はEtherealという名前で開発されていましたが、2006年にWiresharkへと名称が変更されました。現在も世界中の開発者によって活発に開発が続けられており、無料で利用できるにもかかわらず、プロの現場でも欠かせないツールとして活躍しています。

Wiresharkでできること

Wiresharkを使うと、普段は目に見えないネットワークの裏側を覗き見ることができます。具体的には、以下のようなことが可能です。

  • ネットワークトラブルの原因調査:「Webサイトの表示が遅い」「特定のサービスに接続できない」といった問題が発生した際に、通信レベルで何が起きているのかを分析し、原因を特定するのに役立ちます。
  • セキュリティの学習と分析:Webサイトへのアクセス、メールの送受信、DNSの名前解決など、様々な通信がどのような手順(プロトコル)で行われているかを実際に目で見て学習できます。また、不審な通信やマルウェアの活動を検知・分析する手掛かりにもなります。
  • ネットワークアプリケーションのデバッグ:自作したプログラムが意図した通りに通信できているかを確認するなど、開発の現場でも利用されます。

Wiresharkの基本的な使い方

ここからは、本記事のメインとなるWiresharkの基本的な使い方を解説していきます。インストールから実際のパケット解析まで、一つずつ手順を追っていきましょう。

インストールと設定方法

まずはWiresharkをPCにインストールします。公式サイトから無料でダウンロードできます。

  1. 公式サイトへアクセス:Wireshark公式サイトのダウンロードページにアクセスします。
  2. インストーラのダウンロード:お使いのOS(Windows, macOSなど)に合ったインストーラをクリックしてダウンロードします。

  3. インストール:ダウンロードしたインストーラを起動し、画面の指示に従ってインストールを進めます。基本的にデフォルト設定のままで問題ありません。
    【重要】Windows版のインストール中に「Npcap」というツールをインストールするか尋ねられます。これはWiresharkがパケットをキャプチャするために必須のコンポーネントなので、必ずチェックを入れてインストールしてください。
  4. Wiresharkの起動:インストールが完了したら、Wiresharkを起動します。初回起動時には、利用可能なネットワークインターフェースの一覧が表示されます。

画面構成の見方

パケットキャプチャを始める前に、Wiresharkの基本的な画面構成を理解しておきましょう。主に3つのペイン(領域)に分かれています。

Wireshark画面
  1. パケット一覧ペイン(Packet List Pane):キャプチャしたパケットが時系列で一覧表示されます。No.(番号)、Time(時間)、Source(送信元IP)、Destination(宛先IP)、Protocol(プロトコル)、Length(長さ)、Info(情報)などの列があります。
  2. パケット詳細ペイン(Packet Details Pane):パケット一覧ペインで選択したパケットの構造が、階層的に詳しく表示されます。ここで各プロトコルの詳細な情報を確認できます。
  3. パケットバイトペイン(Packet Bytes Pane):選択したパケットの生データが16進数とASCII文字で表示されます。

パケットのキャプチャ方法(取得と停止)

いよいよパケットをキャプチャしてみましょう。

  1. インターフェースの選択:Wiresharkの起動画面に、ネットワークインターフェースの一覧が表示されます。「Wi-Fi」「イーサネット」など、現在インターネットに接続しているインターフェース名の横に、通信量を示すグラフが動いているはずです。そのインターフェースをダブルクリックするか、選択して左上の青いヒレのアイコン(Start capturing packets)をクリックします。
  2. キャプチャ開始:キャプチャが始まると、リアルタイムでパケット一覧ペインに情報が流れていきます。この状態でWebサイトにアクセスしたり、メールを送受信したりすると、関連するパケットがすべて記録されます。
  3. キャプチャ停止:ある程度のデータを取得したら、画面左上にある赤い四角のアイコン(Stop capturing packets)をクリックしてキャプチャを停止します。

基本のキ!表示フィルタの使い方

キャプチャを停止すると、膨大な数のパケットが表示されているはずです。この中から目的のパケットを探すのは大変なので、「フィルタ」機能を使って表示するパケットを絞り込みましょう。

「フィルタ」をするときは、chatgptを利用することが、おススメ!

画面上部にある「Apply a display filter…」と書かれた入力欄に条件式を入力します。

wireshark画面

【よく使うフィルタの例】

  • 特定のIPアドレスとの通信を表示:ip.addr == 192.168.1.1
  • 特定のプロトコルのみ表示(例:DNS):dns
  • 特定のポート番号の通信を表示(例:HTTPS):tcp.port == 443
  • 複数の条件を組み合わせる(例:特定のIPアドレスとのHTTP通信):ip.addr == 192.168.1.1 and http

フィルタを使いこなすことが、Wiresharkマスターへの第一歩です。

特定の通信を追いかける(TCPストリーム追跡)

Webサイトの閲覧など、一連のやり取りをまとめて確認したい場合に便利なのが「TCPストリーム追跡」機能です。

  1. HTTPやTCPのパケットをどれか一つ選び、右クリックします。
  2. メニューから「追跡」→「TCPストリーム」(または「HTTPストリーム」など)を選択します。

  3. 新しいウィンドウが開き、クライアント(自分)とサーバー間のやり取りが、会話形式で色分けされて表示されます。これにより、リクエストとレスポンスの内容が一目でわかります。

実践!Wiresharkで見るWebサイトアクセスの裏側

Google

ここでは、実際にWebサイト(例:www.google.com)にアクセスした際の通信をWiresharkで覗いてみましょう。理論で学んだネットワークの仕組みが、実際のパケットとしてどのように現れるかを見る絶好の機会です。

  1. Wiresharkでキャプチャを開始します。
  2. Webブラウザを開き、「www.google.com」にアクセスします。
  3. ページが表示されたら、Wiresharkのキャプチャを停止します。
  4. フィルタ欄に dns or tcp or tls と入力し、関連するパケットに絞り込みます。

すると、以下のような流れが確認できるはずです。

  • ① DNSクエリ:まずPCが「www.google.comのIPアドレスは何ですか?」とDNSサーバーに問い合わせるパケット(Standard query for A www.google.com)が見つかります。
  • ② DNSレスポンス:DNSサーバーが「そのIPアドレスは〇〇.〇〇.〇〇.〇〇ですよ」と応答するパケットが返ってきます。
  • ③ TCP 3ウェイハンドシェイク:次に、得られたIPアドレスに対してTCP接続を確立しようとします。「SYN」「SYN, ACK」「ACK」という3つのパケットのやり取りが見えます。これが有名な3ウェイハンドシェイクです。
  • ④ TLSハンドシェイク:HTTPS通信のため、TCP接続の上で暗号化通信の準備(TLSハンドシェイク)が行われます。「Client Hello」「Server Hello」といったパケットが飛び交います。
  • ⑤ 暗号化された通信:ハンドシェイクが完了すると、実際のHTTPリクエストやレスポンスが暗号化されて(TLSv1.3などと表示される)やり取りされます。この中身は暗号化されているため、Wiresharkでも簡単には見えません。
  • ⑥ TCPセッションの切断:通信が終わると、「FIN, ACK」などのパケットが交換され、接続が閉じられます。

このように、普段何気なく行っているWebアクセスも、裏側では数多くのパケットが正確な手順でやり取りされていることがわかります。この流れを自分で追体験することは、ネットワークの理解を飛躍的に深めることに繋がります。

Wiresharkのお役立ち機能

サメの人形

基本機能以外にも、Wiresharkには解析を助ける便利な機能がたくさんあります。

カラーリングルール(色分け)

Wiresharkはデフォルトでプロトコルごとにパケットを色分けして表示してくれます(例:TCPは薄い緑、UDPは薄い青、エラーは黒地など)。この色は自分でカスタマイズすることも可能です。「表示」メニューから「色分けルール」を選択すると、独自のルールを追加・変更できます。

統計情報

キャプチャしたデータ全体の傾向を把握するのに便利なのが統計機能です。「統計」メニューには様々なツールがあります。

  • プロトコル階層:どのようなプロトコルが、どのくらいの割合で通信されているかを確認できます。
  • エンドポイント:通信を行っているIPアドレスやMACアドレスの一覧と、それぞれの通信量を確認できます。
  • 会話:どのIPアドレス間で、どのくらいの量の通信があったかを一覧表示します。
Wiresharkの画面

エキスパート情報

Wiresharkが自動で通信の問題点を検知し、警告してくれる機能です。画面左下の丸いアイコンをクリックするか、「解析」メニューから「エキスパート情報」を選択すると、TCPの再送やウィンドウサイズの異常など、潜在的な問題点がリストアップされます。トラブルシューティングの強力な味方です。

学習者が注意すべきWireshark利用上のポイント

Wiresharkは強力なツールですが、その力を正しく使うためにはいくつかの注意点があります。

  • 倫理的な利用を心がける:自分自身が管理するネットワークや、許可を得たネットワーク以外でパケットキャプチャを行うことは、プライバシーの侵害や不正アクセス禁止法に抵触する可能性があります。学習目的であっても、公共のWi-Fiなどで他人の通信を無断で覗き見ることは絶対にやめましょう。
  • 暗号化された通信の中身は見えない:現在のWebサイトのほとんどはHTTPSで通信が暗号化されています。そのため、Wiresharkでキャプチャしても、TLSハンドシェイクの後の具体的な通信内容(IDやパスワード、メッセージなど)を見ることはできません。これはセキュリティ上、当然の仕組みです。
  • パフォーマンスへの影響:長時間のキャプチャや通信量の多いネットワークでのキャプチャは、大量のデータを記録するためPCのメモリやCPUに負荷がかかります。学習目的であれば、必要な操作が終わったらすぐにキャプチャを停止する癖をつけましょう。

まとめ

本記事では、ネットワークプロトコルアナライザ「Wireshark」のインストール方法から、画面の見方、パケットのキャプチャ、フィルタリング、TCPストリーム追跡といった基本的な使い方、そして実践的な活用例までを解説しました。

Wiresharkは、最初はとっつきにくい印象があるかもしれませんが、実際に触ってみることで、これまでテキストでしか学んでこなかったネットワークの知識が、生きた情報として理解できるようになります。セキュリティやネットワークの世界を探求する上で、これほど強力な学習ツールは他にありません。

まずはこの記事を参考に、自分のPCでWebサイトにアクセスする通信をキャプチャするところから始めてみてください。そこには、きっと知的な発見と驚きがあるはずです。

誰でも無料で参加できるハッキング体験会の参加者募集中!!

ハッキング体験会告知チラシ
ハッキング体験会の詳細はこちら

関連記事:

【簡単解説】ホワイトハッカーとは?職種や仕事内容、ハッカーとの違い【徹底レビュー】サイバーセキュリティ技術者育成コースの評判、受講生の声やカリキュラムランサムウェア攻撃の対策方法とは?被害を防ぐ防止策と感染後の対策SSVCとは?ステークホルダーに合わせた脆弱性の分類について解説