JA3 JA3Sフィンガープリントとは

日本語によるJA3フィンガープリントに関する分かり易い解説が見当たらなかったので、JA3 JA3Sフィンガープリントについて調べて、ブログ記事にしてみました。

This combined fingerprinting can assist in producing higher fidelity identification of the encrypted communication between a specific client and its server.

TLS Fingerprinting with JA3 and JA3S

私を含めて知識が曖昧な方が多いと思いますのので、上記記事をレビューして勉強していきましょう。

サーバー、クライアント間での暗号化された通信の識別を担保するためにJA3 JA3Sフィンガープリントといった仕組みがあります。

実際のパケットを解析していませんが、TrickbotやEmoterといったマルウェアに感染している場合、C&Cサーバーはいつも同じフィンガープリントでクライアント側にレスポンスを返すとあります。

IPやドメインが変わろうとも、このフィンガープリントを生成するキー情報は変わらないのでそのような特定ができるようです。

JA3フィンガープリントの着想は、2015年Lee Brotherstonという方が発表したそうです。

そして、その仕組みはオープンソースとして開示されて利用者が増えているといったことがあります。

3wayハンドシェイク後、TSLクライアントが最初にHelloパケットを送信します。

このパケットや生成する方法は、クライアントアプリケーションを生成するときに使われるパッケージとメソッドによって決められます。

次にクライアントHelloパケットを受信したサーバー側は、サーバーサイドのライブラリと設定に従って、TLSサーバーHelloパケットを返信します。

この一連のやりとりは、クリアテキストで送受されるためHelloパケットの詳細を使って、クライアントアプリケーションのフィンガープリントを相互識別に利用することができるのです。

フィンガープリントが生成するキーの例は、上記サイトに詳しく記載がありますので、さらに詳細を確認したい方はご一読ください。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

伊集院

【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。

最新記事 by 伊集院 (全て見る)

• 【暗号化通信(TLS)を復元できる】WIRESHARK達人への道 第二十五歩 暗号化通信(TLS)を復号する方法 - 1月 1, 2023
• 【詳細版】NSM(ネットワークセキュリティモニタ)、Zeekとは？ - 9月 1, 2022
• 【簡易版】OSSネットワークセキュリティモニタZeekとは? - 8月 26, 2022