aireplay-ng とは — aircrack-ng スイートのパケット注入ツール のサムネイル

aireplay-ng とは — aircrack-ng スイートのパケット注入ツール

⏱ 約 11 分 view 36 like 0 LOG_DATE:2026-06-08
目次 / TOC

aireplay-ngaircrack-ng スイートのパケット注入 (インジェクション) ツール。スイートの中で「電波に向かってフレームを撃ち込む」役割を一手に担う。仕事は大きく 2 つ。(1) WEP 鍵回復を加速するためのトラフィック生成・リプレイ(2) WPA/WPA2 の 4-way ハンドシェイクを捕獲するためにクライアントを強制切断 (Deauth) すること。捕獲したハンドシェイクは airodump-ng が記録し、aircrack-ng / hashcat がオフラインで解析する — その「切らせて、繋ぎ直させる」起爆装置が aireplay-ng だ。動作には モニタモード (airmon-ng で設定) と パケット注入に対応した無線アダプタが必須。攻撃モードは -0-9 の番号フラグで選ぶ。

▸ セキュリティ初学者へ — まずこの 3 つだけ

難しく見えても本質は次の 3 つ。(1) aireplay-ng は aircrack-ng スイートの「フレームを送り込む係」。スキャンは airodump-ng、クラックは aircrack-ng、送信は aireplay-ng と役割分担している。(2) 一番使うのは -0 (deauth) = クライアントを一度切断して再接続させ、その瞬間の WPA ハンドシェイクを捕獲する手。(3) 他人の Wi-Fi に撃つと日本では電波法 109 条 (電波妨害) / 不正アクセス禁止法違反。学習は 自分の AP / 契約済みのペンテスト対象 / ラボでのみ。— ここを土台に各章を開いていけばいい。

01

aireplay-ng とは — スイートの注入担当 #

aircrack-ng は単一のツールではなく、無線監査を分担する 複数のコマンドの集合 (スイート)。その中で aireplay-ng は「電波にフレームを注入する」一点に特化している。

スイートのツール担当する役割
airmon-ng無線インタフェースをモニタモードに切り替える
airodump-ng周辺 AP / クライアントをスキャンし、ハンドシェイク等を捕獲・記録
aireplay-ngフレームを注入する (本稿) — Deauth / リプレイ / 注入テスト
aircrack-ng捕獲した WPA ハンドシェイク / WEP IV をオフラインでクラック

aireplay-ng は 「何かを取る」ツールではなく「何かを起こす」ツールだ。Deauth でクライアントを切れば再接続が起き、それを airodump-ng が記録する。WEP に ARP を撃ち込めばトラフィックが増え、IV が貯まる。つまり aireplay-ng は airodump-ng (捕獲) や aircrack-ng (解析) を効かせるための「燃料」を供給する立ち位置にある。

▸ wifite との関係 — 自動でこれを呼んでいる

Wi-Fi 攻撃を全自動化する wifite は、内部でこの aireplay-ng を呼んでクライアントを Deauth し、ハンドシェイク捕獲を誘発している。wifite を「便利だが中身が見えない」状態で使うより、aireplay-ng の -0 が何をしているかを理解した上で使うと、止まったときに手動へ降りて原因を切り分けられる。詳しくは wifite の解説を参照。

02

前提 — モニタモードと注入対応アダプタ #

aireplay-ng を動かすには 2 つの前提がある。(1) 無線インタフェースをモニタモードにする(2) パケット注入に対応したアダプタを使う

通常モード (Managed) の無線カードは「自分宛のフレームだけ」を扱うが、モニタモードでは空中を飛ぶ全フレームを観測でき、かつ任意のフレームを送信できる。これを設定するのが airmon-ng だ。

モニタモードを有効化する
$ sudo airmon-ng check kill # NetworkManager / wpa_supplicant など干渉プロセスを停止 $ sudo airmon-ng start wlan0 # → モニタモードの wlan0mon が生成される # 以降 aireplay-ng の最後の引数は wlan0mon (モニタIF)
▸ ハードウェア要件 — 注入対応チップが必須

aireplay-ng はフレームを「送る」ツールなので、モニタモードだけでなくパケット注入に対応したアダプタが要る。ノート PC 内蔵 Wi-Fi の多くは注入非対応。Atheros AR9271 (TP-Link TL-WN722N v1)、Realtek RTL8812AU (5GHz 対応) などが定番チップ。何かを撃つ前に、まず注入テスト (-9) で「このカードで本当に注入できるか」を確認するのが鉄則 (次章以降)。

03

法的・倫理的な注意 — 最初に必ず読む #

aireplay-ng は 実際に電波を発射し、他人のクライアントを強制切断 (Deauth) するツール。これは技術的に簡単に動くからこそ、法的ハードルを最初に押さえる必要がある。許可なく他人の Wi-Fi に対してパケット注入や Deauth を行うことは、日本では明確な違法行為になりうる。

▸ aireplay-ng を使ってよい対象
  • 自分が所有・管理している AP / 自宅 LAN — 自分で買って設置したルータ、隔離した学習用ラボ
  • 書面で明示的に許可された対象 — ペネトレーションテスト契約や無線診断契約で、スコープ (対象 SSID・期間・手法) が文書化されているもの
  • 正規の学習プラットフォーム / ハードウェアラボ — 自宅に立てた検証用 AP など、所有者が許可している環境

aireplay-ng の -0 (Broadcast Deauth) は範囲内の無関係なクライアントまで切断しうる。カフェやマンションで「ちょっと試す」だけでも、電波法 109 条 (他人の通信を妨害する目的での電波発射 = 電波妨害) や 不正アクセス禁止法、Evil Twin まで進めば 威力業務妨害に問われ得る。Deauth の法的位置付けの詳細は Deauthentication Attack の解説を参照。対象と許可を必ず先に確認すること。

04

攻撃モード一覧 — 番号フラグで選ぶ #

aireplay-ng の攻撃モードは 番号フラグ (長い別名はカッコ内) で選択する。実戦で使うのは現在ほぼ -0-9 で、-1-5 は WEP 時代の遺産だが仕組みの理解には有用。

モード別名内容主用途
-0--deauth指定回数の Deauth を送出 (0 = 連続送出)現役 WPA ハンドシェイク捕獲 / DoS
-1--fakeauthAP と偽の認証を確立 (自分のカードを associate させる)WEP — 注入フレームを AP に受理させる
-2--interactive捕獲したフレームを対話的に選んでリプレイWEP — 任意フレームの再注入
-3--arpreplayARP リクエストを捕獲して再注入し大量の IV を生成WEP 加速 (古典的)
-4--chopchopKoreK chopchop — 鍵を知らずに WEP パケットを復号WEP
-5--fragmentフラグメンテーション攻撃 — PRGA キーストリームを取得WEP
-9--test注入テスト — カードが注入でき AP に届くか検証最初に実行 動作確認

ターゲットやオプションの指定にはモード共通のフラグを使う。混同しやすいので役割を明確に区別する。

フラグ意味
-a <BSSID>AP の MAC アドレス (BSSID)
-c <CLIENT MAC>標的クライアントの MAC (狙い撃ち Deauth。省略すると全クライアントへの Broadcast Deauth)
-b <BSSID>リプレイ系 (-3/-4/-5) でフィルタに使う BSSID
-h <SOURCE MAC>送信元 MAC (通常は自分のカードの MAC、または associate 済みクライアント)
-e <ESSID>対象ネットワーク名 (例: fakeauth 時に必要)
-x <pps>毎秒パケット数の上限 (レート制御。フラッディングを避け穏当に撃つ)
最後の引数常にモニタモードのインタフェース (例: wlan0mon)
05

実戦 — WPA ハンドシェイク捕獲 (-0) と注入テスト (-9) #

現代の主役は WPA/WPA2 への攻撃。鍵そのものを電波から盗むことはできないが、接続中のクライアントを一度切断 → 自動再接続時の 4-way ハンドシェイクを捕獲 → オフラインで辞書/GPU クラックという経路で破る。この「切断」を起こすのが -0 (deauth) だ。

まず注入テスト (-9) #

何かを撃つ前に、カードが本当に注入でき、対象 AP に電波が届くかを確認する。

注入テスト
$ sudo aireplay-ng -9 wlan0mon # Injection is working! と AP への応答が出れば注入OK # ここで失敗するならアダプタ / ドライバ / 距離を疑う

WPA ハンドシェイク捕獲の実戦フロー #

ターミナルを 2 枚使う。1 枚目で捕獲 (airodump-ng)、2 枚目で Deauth 注入 (aireplay-ng)

ターミナル 1 — channel を固定してキャプチャ
$ sudo airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w cap wlan0mon # -c 6 対象 AP のチャネルに固定 # --bssid 対象 AP の BSSID # -w cap cap-01.cap に保存。右上に WPA handshake が出れば成功
ターミナル 2 — クライアントを狙い撃ち Deauth
$ sudo aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF -c 11:22:33:44:55:66 wlan0mon # -0 5 Deauth を 5 発 (0 にすると連続送出) # -a 対象 AP の BSSID # -c 標的クライアントの MAC (省略すると全員へ Broadcast) # → クライアントが切れて再接続 → handshake が cap-01.cap に入る
▸ 実戦の定石 — 狙い撃ち少数発で十分

Broadcast (-c 省略) で全員に連続 Deauth を撃つより、接続中の 1 クライアントに -c を指定して数発だけ撃つほうが、無関係な機器の巻き込み (= 法的リスク) も検知も減らせる。ハンドシェイクは再接続が 1 回起きれば取れるので、大量に撃つ必要はない。捕獲後は aircrack-ng -w wordlist.txt cap-01.caphashcat -m 22000 でオフライン解析へ。Deauth の仕組み自体は Deauthentication Attack の解説で詳述している。

06

WEP 系の歴史的攻撃 (-1 / -3) #

-1-5WEP (Wired Equivalent Privacy) を破るためのモード。WEP は RC4 と短い IV (初期化ベクタ) の欠陥により、大量の IV を集めれば統計的に鍵が割れる。問題は「通信が少ない AP では IV が貯まらない」こと。そこで aireplay-ng が人工的にトラフィックを生成して IV 収集を加速する。現代の AP に WEP はほぼ存在せず、これは歴史的・教育的な題材として扱う。

典型的な WEP 攻撃は fakeauth で AP に associate (-1) → ARP リプレイで IV を量産 (-3) の二段構え。

1. fakeauth で AP に紐づく (-1)
AP は「未認証の送信元」からのフレームを無視する。-1 で自分のカードを偽の認証で associate させ、AP に注入フレームを受理させる土台を作る。
2. ARP リプレイで IV を量産 (-3)
ネットワーク上の ARP リクエストを 1 個捕獲し、それを高速に再注入する。AP が応答するたびに新しい IV が生まれ、airodump-ng の #Data が一気に増える。
3. aircrack-ng で鍵を回復
十分な IV (数万〜) が貯まったら aircrack-ng cap-01.cap が統計攻撃で WEP キーを数分で割り出す。
WEP — fakeauth と ARP リプレイ
# (1) AP に偽認証で associate (-1 0 = 即時) $ sudo aireplay-ng -1 0 -a AA:BB:CC:DD:EE:FF -h 00:11:22:33:44:55 wlan0mon # -h は自分のカードの MAC (送信元) # (2) ARP リクエストを捕獲して再注入 → IV を量産 $ sudo aireplay-ng -3 -b AA:BB:CC:DD:EE:FF -h 00:11:22:33:44:55 wlan0mon # -b は対象 AP の BSSID (リプレイのフィルタ)
▸ -2 / -4 / -5 も WEP 用

-2 (interactive) は捕獲フレームを対話的に選んでリプレイ、-4 (chopchop) と -5 (fragment) は鍵を知らないままキーストリームやパケット内容を取り出す高度な WEP 攻撃。いずれも WEP の構造的欠陥を突くもので、WPA2/WPA3 には通用しない。WEP はとうに非推奨であり、これらは「なぜ WEP が破綻したか」を理解するための教材と捉えるのが正しい。

07

スイート内の位置づけと PMF による無効化 #

aireplay-ng は単体で完結しない。airmon-ng → airodump-ng → aireplay-ng → aircrack-ng という流れの中で、注入を担う一手だ。

ステップツールやること
1. 準備airmon-ngモニタモード化 (wlan0 → wlan0mon)
2. 偵察airodump-ngBSSID / channel / クライアントを特定し捕獲開始
3. 注入aireplay-ng-0 で Deauth、または -1/-3 で WEP 加速
4. 解析aircrack-ng / hashcatハンドシェイク / IV をオフラインでクラック
(全自動)wifite上記すべてを 1 コマンドに束ねて自動実行
▸ PMF (802.11w) / WPA3 で -0 は無効化される

aireplay-ng の -0 は「平文・無認証の Deauth 管理フレームを偽装して送れる」という 802.11 の歴史的欠陥に依存している。PMF (Protected Management Frames, 802.11w) を有効にした AP では、偽装 Deauth は MIC 検証で弾かれ、クライアントは切断されない。WPA3 では PMF が義務化されているため、WPA3 環境では -0 によるハンドシェイク強制捕獲は基本的に通らない。なぜ PMF で無効化されるのか、防御側の設定方法までは Deauthentication Attack の解説で詳しく扱っている。

▸ まとめ — aireplay-ng は「起こす」ツール

aireplay-ng は aircrack-ng スイートの注入担当で、WPA では -0 でクライアントを切ってハンドシェイクを捕獲させ、WEP では -1/-3 でトラフィックを量産して IV を貯めさせる。何かを撃つ前に -9 で注入を確認し、Deauth は 狙い撃ち少数発に留める。そして 他人の Wi-Fi に撃てば電波法 109 条 / 不正アクセス禁止法違反 — 学習は自分の AP か契約済みのペンテスト対象でのみ。仕組みを理解したら、その自動化版である wifite を使えば全体像がはっきり見える。

𝕏 ポスト B! はてブ