コンテンツにスキップ

プロキシキャプチャ

Trace Eagle のプロキシキャプチャモジュールは、あなたのコンピューター、スマートフォン、LAN 上の他デバイスのネットワークリクエストを、もれなく、はっきりと、復号した状態で見えるようにします。見るだけではありません。編集し、傍受し、再送し、比較し、送信元までたどれます。

「もう 1 つのプロキシキャプチャツール」との根本的な違いはここにあります。一般的なプロキシツールには「プロキシを設定 + 中間者復号」という1 本の経路しかありません。プロキシを無視するプログラム、証明書ピンニングを使うアプリ、Java / Python 製プログラム、独自のバイナリプロトコル、トラフィックの特徴に敏感なアプリケーションに出会った瞬間、ほぼ手詰まりになります。Trace Eagle はこうした死角を 1 つずつ埋めていきます。プロキシを無視するプログラムでもキャプチャし、証明書ピンニングを使うアプリでも復号し、独自フォーマットでも再構成し、システムのノイズに埋もれていても誰が送ったフローかを特定し、トラフィックの特徴に敏感なアプリケーションにはトラフィックを変えないまま、正常な動作を乱すことなく高忠実度で観測します。

フロー一覧: 各リクエストがメソッド、ステータス、ホスト/パス、種別、サイズ、送信元プロセスをリアルタイムに表示


1. 一般的なプロキシキャプチャツールとの違い

Section titled “1. 一般的なプロキシキャプチャツールとの違い”

同じプロキシキャプチャでも、違いは「リクエストが見えるかどうか」ではありません。難しいケースにぶつかっても作業を続けられるか、そしてより深く見られるかです。

シナリオ 一般的なプロキシキャプチャツール Trace Eagle
プログラムがシステムプロキシを無視する(多くのクライアント、バックグラウンドサービス、直接接続トラフィック) キャプチャできず、まるごと取りこぼす 透過型プロキシ: アプリの設定は不要。プロキシを無視するプログラム、直接接続トラフィック、マシンがホットスポット/ゲートウェイとして動作するときに転送されるトラフィックまでキャプチャし、プロセス単位で正確に範囲を絞れる
アプリが証明書ピンニングを使う エラー / 接続不能 / あきらめるしかない ワンクリックで対象アプリの証明書検証を解除し、キャプチャ証明書を信頼させて復号を継続。触れたくないサイトは正確にパススルー
Java、Python などのプログラム システム証明書を入れても効かず、復号できない 証明書の全面カバー: 一般的なプロキシでは復号できないこれらのプログラムも、ここでは復号できる
HTTP/3 (QUIC) トラフィック サポートが弱く、ほとんど見えない 必要に応じて 3 段階から選択: ダウングレードキャプチャ忠実なパススルー(高忠実度)真の復号
独自 / バイナリプロトコル、圧縮・暗号化されたエンベロープ 読めないゴミの山 自動解凍、多数のフォーマットの自動認識に加え、フレーム分割ルールや JS スクリプトによるカスタムデコード
プロセスが入り混じり、どれがトラフィックを送ったか分からない IP / ドメインしか分からず、推測するしかない すべてのフローに送信元アプリ / プロセスのラベルが付く。ホストをクリックすればその全プロファイルも参照できる
相手が誰か、クライアントが何かを見極めたい なし ホストをクリックして帰属 / 証明書 / 地理プロファイルを表示し、各コネクションのクライアントフィンガープリント (JA3/JA4) を確認
トラフィックの特徴に敏感なアプリケーション MITM プロキシがトラフィックの特徴を変えてしまうため、観測しているものはもはや本物のトラフィックではなく、対象を乱すおそれもある 複数の高忠実度モード: トラフィックを特徴ごとそのまま保ち、対象アプリを乱すことも、分析している本物のリンクを見失うこともない
アクセス方式 / 並行作業 基本的にプロキシのみ、単一セッション プロキシ + NIC 直接キャプチャ + 透過キャプチャ + モバイル直接接続、複数セッションを並行実行、複数ポートが互いに干渉しない

ひとことで言えば、一般的なツールは「プロキシキャプチャ」を行い、Trace Eagle は「状況を問わず、キャプチャし、復号し、理解し、誰が誰に送ったのかまで把握する」ことを行います。


2. 柔軟なアクセス方式(2 つのローカルアクセスモード)

Section titled “2. 柔軟なアクセス方式(2 つのローカルアクセスモード)”

トラフィックがどのようにキャプチャへ入るかは、シナリオ次第です。セッションツールバーの 「プロキシ(ローカル)」→ 歯車「アクセス設定」 から、2 つのアクセスモードを選べます。

  • 従来型プロキシ(システムプロキシを使う、定番のキャプチャ): ワンクリックでアクセス。ブラウザ、コマンドライン、大半のアプリが自動でプロキシを通ります。停止後は自動で復元されるので通常のインターネット接続が保証され、異常終了時にも復旧のフォールバックがあります。制限: アプリがシステムプロキシを使わない場合はキャプチャできません
  • 透過型プロキシ(すべてのトラフィック): 一般的なツールの死角: アプリの設定は不要。**ローカルのすべてのトラフィック(直接接続トラフィックや、マシンがホットスポット/ゲートウェイとして動作するときに転送されるトラフィックを含む)**をキャプチャできます。システムプロキシを使わないアプリも同じようにキャプチャでき、アプリ / プロセス単位で正確に範囲を絞って数個のプログラムだけをキャプチャすることもできます。モバイルではルート証明書を入れるだけで、手動でプロキシを設定する必要はありません。

アクセス設定: 従来型プロキシ / 透過型プロキシ の 2 つのアクセスモードと、ダウングレードキャプチャ / 忠実なパススルー / 真の復号 の 3 段階の HTTP/3 対応

LAN デバイスのキャプチャ: スマートフォン/タブレット/他のコンピューターのプロキシをこのマシンに向ければキャプチャできます。ワンクリックの証明書インストールガイド付き(iOS/macOS の構成プロファイルは QR スキャンでインストール)。

上流プロキシを連結: キャプチャセッション自体が、さらに別の上流プロキシを上に連結できます(このマシンのキャプチャを、会社のプロキシ、踏み台ホスト、その他の二次プロキシへつなぐ)。リンクは透過的で、復号に影響しません。


HTTP/3 を採用するアプリはますます増えており、一般的なツールはここでつまずきがちです。「アクセス設定」で次から選べます。

  • Block(ダウングレードキャプチャ): HTTP/3 を HTTP/2 にダウングレードして、キャプチャ可能にしようと試みます(一部のアプリはこれに対応しません)。
  • Ignore(忠実なパススルー): 復号せずそのまま転送します。高忠実度で、プログラムのデータリクエストを乱しません
  • Decrypt(真の H3 MITM): 本当にキャプチャして復号し、通常の HTTPS と同じように平文を見られます。

従来型プロキシは「Block / Ignore」に対応します。「Decrypt」は透過型プロキシモードで使う必要があります


4. 復号能力: 「ただ証明書を入れるだけ」ではない

Section titled “4. 復号能力: 「ただ証明書を入れるだけ」ではない”

一般的なツールの復号は「システム証明書を 1 つ入れる + プロキシによる中間者」で、少しでも防御があると破綻します。Trace Eagle は複数の手を組み合わせます。

  • ワンクリック HTTPS 復号: 証明書システムを内蔵。一度インストールすれば継続的に復号できます。
  • 証明書の全面カバーインストール: ワンクリックでシステム証明書をあらゆる場所にカバーします。一般的なプロキシではシステム証明書を入れても復号できない Java、Python などのプログラムも、ここでは復号できます。
  • 証明書ピンニングの解除(ピンニング除去): ピンニングを使い、通常なら接続をエラーで即座に拒否するアプリに対して、ワンクリックで証明書検証を解除し、復号を継続します。
  • ホワイトリスト / 許可リスト / ブロックリスト: ホワイトリストは指定したドメインだけを復号し、残りはそのままパススルーします。許可リストは厳密に検証されるサイトを復号せずそのまま通してエラーを避けます。ブロックリストは通したくないドメインをまるごと落とします。

復号範囲の設定: ブラックリスト / ホワイトリストの切り替え、許可リスト、ブロックリスト、加えて上流プロキシとカスタム DNS


5. 複数セッション / 複数プロキシの並行実行

Section titled “5. 複数セッション / 複数プロキシの並行実行”
  • 複数のキャプチャセッションを同時に開けます。各セッションは独立したタブで、個別に開始/停止/切り替えができます。
  • セッションは完全に分離されています。フロー一覧、詳細、選択状態、設定がそれぞれ独立し、複数のプロキシセッションがそれぞれ別のポートで待ち受けて同時に動作できます。
  • プロキシ、NIC 直接キャプチャ、透過キャプチャ、モバイル直接接続を同時に走らせ、シナリオに応じて組み合わせられ、互いに影響しません。

プロトコル 対応能力
HTTP / HTTPS 完全なリクエスト・レスポンス解析、平文表示
HTTP/2 ネイティブ解析、HTTP/1.1 と一貫した表示体験
HTTP/3 (QUIC) 3 段階から選択: ダウングレードキャプチャ / 忠実なパススルー / 真の復号(上記参照)
WebSocket 送受信メッセージをフレーム単位で表示(text/binary/ping/pong、方向のラベル付き)
Server-Sent Events (SSE) イベントストリームをイベント単位で表示
gRPC / protobuf .proto なしでフィールド構造を解決
生の TCP / UDP 非 HTTP の独自プロトコルでも生データをキャプチャ
SOCKS5 アクセスに同じポートを共有。CONNECT と UDP ASSOCIATE の両方に対応し、SOCKS トラフィックも復号 / パススルーできる

7. 高忠実度の観測: 対象を乱さない、トラフィックの特徴を変えない

Section titled “7. 高忠実度の観測: 対象を乱さない、トラフィックの特徴を変えない”

一般的な中間者プロキシはネットワークリクエストの特徴を変えてしまい、その結果、観測しているものはもはやアプリの本物のトラフィックではなくなり、対象アプリの正常な挙動に影響することもあります。トラフィックの特徴に敏感なアプリケーション(ネットワークリクエストのデータフィンガープリントで整合性チェックを行うサービスなど)にとっては、これは対象を乱すと同時に分析をゆがめます。

Trace Eagle は複数の忠実度段階を用意し、キャプチャ過程をできるだけ「透明」に、本物のリンクにできるだけ近く保ちます。忠実な観測(本物のクライアントに最も近い形で観測し、トラフィックの特徴の変化を最小化)、フィンガープリント再構成(トラフィックを書き換える必要があるときも一貫したクライアントフィンガープリントを保つ)、固定クライアントプロファイル(トラフィックの特徴を標準的なクライアントのものに復元: デスクトップの Chrome / Firefox / Safari、モバイルの Safari、またはランダムなプロファイル)です。「H3 Ignore(忠実なパススルー)」と組み合わせれば、トラフィックの特徴に敏感なアプリケーションでも、正常な動作を乱すことなく忠実にキャプチャして分析できます。


8. プロセス帰属と精密なフィルタリング

Section titled “8. プロセス帰属と精密なフィルタリング”
  • 誰が送ったか一目で分かる: すべてのフローに送信元アプリ/プロセスのラベルが付くので、混雑した環境でも対象を素早く特定できます。IP/ドメインしか表示しない一般的なツールでは得られないものです。
  • 気になるものだけをキャプチャ: 透過型プロキシと組み合わせ、アプリ / プロセス単位で正確に範囲を絞り、ノイズを締め出します。

フロー詳細: コネクションと送信元プロセス、TLS とコネクションフィンガープリント (JA3/JA4)、復号ステータス、自動解析されたリクエスト内容が、すべて 1 画面に


9. さらに強力な連携機能(それぞれ独立した記事)

Section titled “9. さらに強力な連携機能(それぞれ独立した記事)”

キャプチャした後の「理解する、たどる、書き換える、再送する、負荷テストする」はいずれも奥が深いので、別々の記事で詳しく説明します。

機能 ひとことで 詳細
確認とデコード 5 つの表示モード + 自動解凍/認識/整形 + メディアのインラインプレビュー + 独自プロトコルのフレーム分割/スクリプトデコード 確認とデコード
ホスト詳細 任意のホストをクリックして帰属 (ASN/組織/登録情報) + 地理マップ + DNS + TLS 証明書チェック + Web 技術スタック ホスト詳細
書き換えルールとブレークポイント傍受 シンプルなルールでポイント&クリックによりリクエストを編集、スクリプト不要 + ブレークポイントで 1 つずつ手で編集 + 複雑なシナリオにはスクリプト/プラグインをフォールバックに 書き換えルールとブレークポイント傍受
リクエストの作成と再送 ワンクリック再送/編集して再送 + リクエストコンポーザー + 動的値の署名 + コレクション/環境 + コード生成 リクエストの作成と再送
リクエスト比較 (Diff) 2 つのリクエスト/レスポンスを横並びで 1 行ずつ比較。セッションやソースをまたいで、どこが違うか一目で分かる リクエスト比較
セッション再生と負荷テスト 一連のリクエストを順番にまとめて再生。単体を右クリックして「このリクエストを負荷テスト」、リアルタイムのスループットとレイテンシのパーセンタイル付き セッション再生と負荷テスト

軽量ながら便利な機能もひとつあります。

  • コネクションフィンガープリント (JA3 / JA4): 任意の HTTPS コネクションについて、そのクライアント TLS フィンガープリント(生文字列付きの JA3、JA4、ワンクリックコピー)を表示。IP/UA によって変わらず、クライアントの種類を特定し、トラフィックのトレースやセキュリティ分析を助けます。

  • API 連携のデバッグ: モックでデータを生成する。本番のエンドポイントをローカル/テスト環境へ転送する。
  • モバイルキャプチャ: スマートフォンアプリの HTTPS リクエストをキャプチャし、エンドポイントを分析してトラブルシュートする。
  • 難しいケースへの対処: プロキシを無視する、証明書ピンニングを使う、Java / Python で書かれたプログラム。透過型プロキシ + ピンニング除去 + 証明書の全面カバーで対処する。
  • 独自プロトコルの分析: バイナリ/カスタムプロトコルの構造を、フレーム分割ルールやスクリプトで解決する。
  • 障害のトラブルシューティング: リクエストが何を送り、サーバーが何を返したかをはっきり見て、パラメーター/戻り値/クロスオリジンの問題を特定する。
  • 弱ネットワークテスト / 負荷テスト: ルールで劣悪なネットワークを再現する。負荷テストでエンドポイントの処理能力を評価する。
  • セキュリティ監査 / 資産の棚卸し: 外向き通信を確認し、機密情報の漏洩をチェックし、証明書を検証し、ホストプロファイルで相手の帰属を把握する。
  • 高忠実度の分析: トラフィックの特徴に敏感なアプリケーションについて、トラフィックをそのまま保ち、挙動を乱すことなく忠実にキャプチャして分析する。

プロキシキャプチャは Trace Eagle のデータ収集能力の一部です。プロキシ方式のほか、本製品は NIC 直接キャプチャ、モバイルデバイスの直接接続、その他のキャプチャ方式にも対応し、シナリオに応じて柔軟に組み合わせられます。