#はじめに
Fiddler は HTTPS 通信の中身を decrypt して解析ができるツールなので、サポート業務としても大変重宝しているツールになります。
基本的には、ダウンロードして、「Capture Traffic」をクリックするだけで、パケットキャプチャが開始できるのですが、 HTTPS 通信をDecrypt するためにはひと手間加えてあげないといけません。
実際に、 HTTPS 通信を decrypt しない場合とした場合に、 Fiddler でどのように見えるかについて、触れたいと思います。
#インストールから設定まで
1.下記 URL にアクセスし、 Fiddler をダウンロードします。
https://www.telerik.com/download/fiddler
2.下記画面にて「I accept the Fiddler End User Lincense Agreement」のチェック ボックスにチェックを入れた後に、「Dowanload for Windows」をクリックします。
3.FiddlerSetup.exe ファイルを任意のフォルダに保存します。
4.ダウンロードした exe ファイルをダブルクリックし、下記画面にて「I Agree」をクリックします。
5.インストール フォルダを指定(基本デフォルトのままで問題ありません)し、「Install」をクリックします。
6.インストールが完了すると下記画面が表示されますので、そのままブラウザを閉じます。
7.インストール ウィザードも「Completed」となっていることを確認し、「Close」ボタンをクリックします。
8.「Windows」→「Fiddler 4」の順に選択し、 Fiddler を起動します。
9.下記警告画面は無効化したいので、「Cancel」ボタンをクリックします。
10.下記画面が表示された場合は「いいえ」をクリックします。
11.ここから HTTPS トラフィックを Decrypt するように設定を行います。上部バーの「Tools」→「Options」の順に選択します。
12.Options 画面より「HTTPS」タブをクリックします。
13.HTTPS タブより「Decrypt HTTPS traffic」のチェック ボックスにチェックを入れます。
14.次に同画面にて、「Ignore server certificate errors (unsafe)」のチェック ボックスにチェックを入れます。
15.最後に「OK」ボタンをクリックします。
これで準備完了です。
#HTTPS 通信が decrypt された場合とされない場合を比較してみる。
キャプチャーを行っているときは「Capture Traffic」にチェックマークが入っています。
既存のキャプチャ ログをすべて削除する場合は、「Ctrl + A」で全選択後に「Remove」→「All Sessions」で全削除できます。
全削除すると下記のとおり、キャプチャがすべて削除されます。
ログ解析などを開始するときなどは、一度既存のパケットキャプチャをすべて消しておくと良いでしょう。
では HTTPS Decrypt 状態で www.office.com にアクセスしてみます。
UPN を入力して「次へ」をクリックします。
パスワードを入力して「サインイン」をクリックします。
この状態で Fiddler の内容を見てみましょう。
今回の確認作業で注目すべきログは下記の office 365 のエンドポイントにアクセスしたときのログになります。
そもそもエンドポイントって何?って思う人もいるかと思いますが、エンドポイント自体は IT の共通言語で、 Office 365 については下記のように定義されています。
Endpoints are the set of destination IP addresses, DNS domain names, and URLs for Office 365 traffic on the Internet.
一般的には、ユーザーがそのエンドポイントにアクセスすると、あとはサービス(プログラム)側で自動処理が行われるため、ユーザーは何もしなくていいという意味で、「エンド」という言葉が使われているといわれています。
簡単にいうと終着点ですかね。
さて、 HTTPS Decrypt した場合の Office 365 エンドポイントにアクセスしたときのログは、 Fiddler の右画面に「Inspectors」→「Webforms」と選択するとみることができます。
下記はログイン画面で入力した UPN の情報。
カーソルを下げると、入力した passwd も見ることができます。
上記と同じ操作を 「Decrypt HTTPS traffic」のチェックを外した状態で行ってみましょう。
すると、下記のとおり、鍵マークがついて、 HTTPS 通信の中身を見ることができません。右側の Webforms も確認してみましょう。
Decrypt が無効になっているため、何も中身を解析することができません。
#おわりに
いかがでしたでしょうか。
せっかく Fiddler を入れても、 「Decrypt HTTPS traffic」のチェックを入れないままパケットキャプチャを取得してしまうと、 HTTPS 通信の中身を何も見ることができないということが分かりました。
最初から HTTPS 通信の decrypt を有効にしてくれれば良いのに…と思わなくもないですが、ログを取るときは上述の設定がちゃんと有効になっているか確認の上、ログを取得しましょう。
最後まで読んでいただきありがとうございました。