【検証】社員のネットサーフィンの証拠をNetworkUsageViewで押さえられるのか?|セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ
              

 コース:こってり

【検証】社員のネットサーフィンの証拠をNetworkUsageViewで押さえられるのか?

セキュ松

こんにちは、セキュ松です。



突然ですが、みなさんは各アプリケーションのネットワーク通信量を知りたくなったことはないでしょうか?

......従業員がネットサーフィンしまくりでサボっていなかったか。



......子供が親の目を盗んでネットゲームをしまくっていなかったか。



知りたくなること、ありますよね。

......そこで今回は、こちらを検証してみたいと思います。



......srudb.datとは、Windows8以降から追加された、
SRUM(System Resource Usage Monitor)の情報が記録されているdatファイルで、
アプリケーションの使用時間やネットワークの使用量などを、
1時間ごとに記録してくれているファイルです。

今年の6月終わりに、ネットワーク周りについてパースしてくれる無料のソフトウェアがNirSoftより公開されました。

NetworkUsageView
http://www.nirsoft.net/utils/network_usage_view.html

さて、このようなネットワークの通信量は、通信したパケットのサイズを見ることで確認することができます。

パケットの取得と言えば、WiresharkやPBHなど、
素晴らしいソフトや商品によって取得することが出来ますね。


「Wiresharkは知ってるけど、PBHってなんだろう?」
と思った方はこちらをどうぞ

メール・インターネット監視。社内通信を監視・記録するPacketBlackHole
https://www.netagent.co.jp/product/pbh/


......しかし、こういった製品やソフトでパケットを取得しようとすると、
予め設置したり、キャプチャしたりしてする必要があります。
「そんなことをすると、部下のサボりを調査しているのがバレてしまう......」
というときに、役に立つのがsrudb.datです。

Windows標準の機能であり、自動的に各アプリケーションに関する情報が
記録されているため、こっそりと調べることができます!

早速、NetworkUsageViewを使ってsrudb.datの中身を見てみた画像がこちらになります。










すげー!



すげー!!!!!



ケーキに顔を突っ込みたくなるくらい簡単で分かりやすいですね。
管理者権限で実行すれば、実行した端末のネットワーク使用状況を表示してくれます。
一応、細かく見ていきましょう。

Time Stampのカラムには、取得日時が載っています。
端末の電源が切れていない限りは1時間に1度、取得が行われます。



App NameとApp Descriotionには、
通信を行ったアプリケーションの名前が載っています。



User NameやUser SIDのカラムには、
使用したユーザ名などが表示されています。




次に、Bytes Sent、Bytes Receivedのカラムには、
アプリケーション毎に送信したパケットのサイズと、受信したパケットのサイズが書かれています。



また、F9を押して「Advanced Options」を開けば、他端末から持ってきたsrudb.datを表示させることもできます。



さて、UIが分かりやすく、起動すればとりあえず自分のPCのネットワーク使用量は分かる
感じなので、今回は、このソフトと他のパケットキャプチャ製品の比較を行ってみたいと
思います。

さっそく検証していきましょう。



今回、検証に用いたのは
・Wireshark
・タスクマネージャー
の2つです。

「......あれ?タスクマネージャーでそんなことできるの?」
と思った方、できるんです!

Windows10のタスクマネージャーには、アプリの履歴というタブがあり、
そのタブを開いた状態でオプションの「すべてのプロセスの履歴の表示」にチェックを
入れると、各アプリケーションのネットワーク使用量が見られるようになります!



す、す、すげーっ!!!







すげー!!!



すげー!!!!!!



すげー!!!!!!!!!!!!




すげー!!!!!!!!!!!!!



すげー!!!!!!!!!!!!!!!!!





凄さで思わず宇宙に行ってしまいましたが、
続けていきましょう。

今回は目玉焼きが大好きな後輩に検証を手伝ってもらいました。
テキストファイルをセキュ松から後輩に送り、再度送り返してもらいます。
その際の状況をそれぞれのツールでキャプチャします。

......転送に用いるファイルはこちらです。



テキストファイルの中身はこのようになっています。



546KB分の告知が詰まったファイルなので、
1.1MB近くの送受信が行われるはずですが、はたして......

いくぞー!!!!!



きたー!!!!!



ここで、srudb.datへ書き込まれる時間が1時間間隔のため、
社内の筋トレルームで筋トレをして待ちます。





......さて、筋トレをしすぎてムキムキになってしまいましたが、
1時間経ったので各ソフトで先程のパケットのサイズを見てみましょう。




それぞれのツールの結果は以下の通りです。

・Wireshark
ファイルを転送しているストリームのサイズを見てみました。




558 + 558 = 1116


・タスクマネージャー


1.1MB ≒ 1126KB


・NetworkUsageView


566 + 528 = 1154

546KBのテキストファイルを送信して受信したため、
純粋なファイルの転送だけだと1092KBの通信が行われていたことになります。

「Chat&Messengerじゃなくて、もっと単純なファイル転送ソフト使えよ!」
という声が聞こえてきそうです。



......各アプリケーションの結果が、1116KB、1126KB、1154KBだったことを考えると、
NetworkUsageViewが有用であると言える結果だったのではないでしょうか。

ただし、アプリケーション毎の通信量しか取得できないため、
どのWebページをどれくらいの時間開いていたかなどは分からない点に注意してください。
「おいおい~ネットサーフィンばっかりしてサボってるのバレバレだぞ~」
と怒るためには、もう少し他の証拠が必要かなという感じです。

あと、筋トレをした後の30分間はゴールデンタイムと呼ばれ、
栄養の吸収率がめちゃくちゃ上がるらしいので、ごくごくプロテインを飲みましょう。



それでは、さようなら。