Wireshark ネットワーク解析入門｜パケットキャプチャの実践

Wireshark ネットワーク解析入門｜パケットキャプチャの実践

現代のネットワーク環境において、通信が不安定になる原因を特定することは、システム管理者やエンジニアにとって不可欠なスキルです。目に見える形でデータを可視化できない限り、ボトルネックは闇の中にあるままです。Wireshark は、世界で最も広く使われているオープンソースのパケットキャプチャおよびプロトコルアナライザツールであり、その名前は「ネットワークの聴診器」とも呼ばれます。このツールを使用することで、物理層からアプリケーション層までのあらゆる通信を詳細に解析することが可能になります。2026 年現在では、Wireshark 4.4 以降のバージョンは HTTP/3 や QUIC プロトコルへの対応がさらに強化されており、最新の暗号化トラフィックにおいても強力な解析力を発揮します。

本記事では、PC 自作やシステム構築に携わる初心者から中級者向けに、Wireshark の基礎的な使用方法から高度なトラブルシューティングまでを網羅的に解説します。単なるツールの操作方法だけでなく、「なぜそのフィルタを使うのか」「どの統計情報を確認すべきか」といった分析の思考プロセスも併せて伝えます。具体的な製品名や設定手順を含めることで、実際の環境で即座に実践可能な知識を提供します。また、2026 年時点でのセキュリティ要件を考慮し、パケットデータの扱い方やプライバシー保護に関する注意点についても言及します。

ネットワーク解析は、理論だけでなく実機を触る経験が最も重要です。このガイドラインに従って、ご自身の環境でキャプチャを開始し、失敗から学ぶプロセスを積んでください。特に TLS 復号化やリモートキャプチャといった上級機能については、安全な環境下での実施を推奨します。最後に、よくある質問セクションで疑問点を解消し、まとめでは学習の要点を整理しました。これらを参照しながら、ネットワーク通信の「見える化」を実現するスキルを磨いていきましょう。

Wireshark の基礎とバージョン 4.4+ の新機能

Wireshark は、パケットキャプチャを通じてネットワーク内を流れ続けるデータの流れを記録・解析するためのソフトウェアです。OSI モデルの各階層に位置するプロトコルの詳細な情報を表示でき、通信エラーやパフォーマンス低下の原因究明に役立ちます。基本的には GUI（グラフィカルユーザーインターフェース）を提供していますが、背後では堅牢なキャプチャライブラリが動作しており、Windows 上では WinPcap や Npcap、macOS や Linux では libpcap を利用しています。これらのドライバーは、OS のネットワークスタックに直接アクセスしてパケットを取得する役割を担っており、適切な権限設定が不可欠です。

2026 年 4 月時点での主流である Wireshark 4.4 バージョン以降では、現代のウェブ技術への対応力が大幅に向上しています。特に注目すべきは QUIC プロトコル（Quick UDP Internet Connections）の解析機能の強化です。QUIC は HTTP/3 の基盤となるプロトコルであり、TCP の代わりに UDP を使用して低遅延と高速な接続確立を実現します。従来のバージョンでは暗号化された QUIC パケットの中身を確認することが困難でしたが、4.4 以降は TLS エンハンスト・キーログファイルのサポートが標準化され、より容易に復号化が可能になっています。これにより、SSL/TLS の握手プロセスやデータ転送効率を詳細に調査できるようになりました。

また、HTTP/2 と HTTP/3 のマルチストリーム機能の可視化についても改善が見られます。従来の HTTP/1.1 ではリクエストとレスポンスが順序通りに行われていましたが、HTTP/2 以降は複数のストリームを同時に処理するため、パケットの順序関係が複雑になります。Wireshark はこれらのストリームの再構成を自動的に行い、ユーザーには分かりやすい形で表示します。さらに、セキュリティ関連の機能として、パケットデータから機密情報を自動的にマスキングする機能が強化されています。分析結果を共有する際や、外部のサポートチームにデータを提出する際に、個人情報や認証情報が漏洩しないように保護するためのフィルタリング処理が容易になりました。

環境構築｜Windows/macOS/Linux インストール手順

Wireshark を使用する前に、適切なインストールとドライバー設定を行うことが重要です。各 OS ごとの推奨方法は異なり、特に Windows ではカーネルレベルのドライバーが必要となります。まず Windows の場合、公式サイトのダウンロードページから最新のインストーラーを取得します。ここでは Wireshark 本体に加え、Npcap（New Packet Capture Driver）が含まれています。Npcap は WinPcap の後継となるドライバーで、ループバックインターフェースでのキャプチャや promiscuous mode（プロミスキュアスモード：全パケットの受信）への対応に優れています。インストール中は「Install Npcap」のチェックボックスを必ず選択し、必要に応じて loopback キャプチャも有効化してください。

macOS の場合は、Homebrew または公式の DMG インストーラーが利用可能です。Apple Silicon（M1/M2/M3 チップ）環境に対応しているため、アーキテクチャを選択する際は注意が必要です。特にセキュリティのために macOS はネットワークインターフェースへのアクセス権限を厳格に管理しており、Wireshark の実行時には「プライバシーとセキュリティ」設定からネットワーク監視の許可を与える必要がある場合があります。また、ターミナルから brew install wireshark と入力してインストールする際、バージョンが最新のものに自動更新されるため、定期的なアップデートが容易です。

Linux 環境では、Ubuntu 24.04 などのディストリビューションにおいてパッケージマネージャーを利用するのが一般的です。公式の Wireshark リポジトリを追加するか、または apt コマンドを使用してインストールします。ただし、標準のパッケージには GUI ツールの依存関係が不足している場合があるため、wireshark パッケージに加え、wireshark-qt やtshark も同時にインストールすることをお勧めします。また、ユーザーがキャプチャ権限を取得するために wireshark ユーザーグループに所属させる必要があります。これにより、root 権限を必要とせずにパケットの取得が可能になります。

下表に各 OS における推奨インストール方法と必要な注意点をまとめました。

キャプチャ開始とインターフェースの選択

Wireshark を起動すると、キャプチャ対象となるネットワークインターフェースの一覧が表示されます。これは、PC 内のすべての物理および仮想アダプターを含みます。Ethernet（LAN）、Wi-Fi（無線 LAN）、ループバック（lo/lo0）、VLAN インターフェイスなどがリストアップされます。ここで重要なのは、解析したいトラフィックが流れる適切なインターフェースを選択することです。例えば、有線 LAN で通信している場合でも、仮想マシンのブリッジアダプターや WSL2 のインターフェースが誤って選択されると、意図しないデータのみが取得される可能性があります。

キャプチャ開始ボタンをクリックする際、「Promiscuous Mode（プロミスキュアスモード）」のチェック状態を確認してください。このモードが有効になっていると、ネットワークアダプターは宛先 MAC アドレスが自分のものではないパケットも受け取るようになります。スイッチ上で動作している場合や、他の PC のトラフィックを傍受したい場合に必須です。ただし、無線 LAN（Wi-Fi）の場合には、プロミスキュアスモードの挙動が有線とは異なる場合があります。多くの Wi-Fi カードでは、暗号化されたフレームや、自分宛てではないフレームをハードウェアレベルでフィルタリングするため、完全な傍受は困難である場合があります。

キャプチャの開始後、パケットが流れてくる様子がリアルタイムに表示されます。上部のツールバーにある「Start/Stop」ボタンで制御できますが、より効率的に運用するには「Capture Options」の設定も重要です。ここでは、キャプチャバッファサイズやファイル保存形式を事前に設定できます。例えば、サーバーの負荷調査では大量のパケットが発生するため、ディスクへの書き込み頻度を減らすために「Ring Buffer（ループバッファ）」機能を利用し、古いデータから上書き保存する設定が有効です。また、保存先ファイルの拡張子に注意し、.pcapng 形式を推奨します。これは PCAP よりもメタデータを多く保持でき、Wireshark の解析機能を最大限に活用できる形式です。

効果的なフィルタリング｜BPF と表示フィルタの違い

ネットワーク解析において最も重要なスキルは、不要なパケットを排除し、必要な情報に絞る「フィルタリング」技術です。Wireshark には大きく分けて二種類のフィルタが存在します。一つはキャプチャフィルタ（Capture Filter）、もう一つは表示フィルタ（Display Filter）です。この両者の違いを理解していないと、システムリソースの無駄遣いや解析ミスにつながります。キャプチャフィルタは、パケットが OS に到達する前に適用されるもので、キャプチャーデバイスレベルでパケットを除外します。これによりディスクへの書き込み量を減らし、メモリ使用量を抑えることができます。

表示フィルタは、キャプチャされた後のデータを画面に表示する際に適用されます。Wireshark のメインウィンドウ上部のツールバーにある入力欄がこれに該当します。このフィルタは BPF（Berkeley Packet Filter）構文とは異なり、独自の高い表現力を持つ構文を使用しています。例えば、特定の IP アドレスからのトラフィックだけを表示したい場合、ip.addr == 192.168.1.50 と入力します。ここでの重要点は、キャプチャフィルタを使用しても後で解析できないデータは取得できませんが、表示フィルタを使用すれば、すでに保存されたファイルに対して再度フィルタリングをかけることができる点です。

BPF 構文（キャプチャフィルタ）の例と表示フィルタ構文の違いについて下表に示します。開発や自動化スクリプトでは BPF が使われることが多く、GUI 操作では表示フィルタが多用されます。また、論理演算子 and, or, not を組み合わせて複雑な条件を指定することも可能です。

パケットの詳細分析｜Follow Stream と Expert Info

取得したパケットの中から、特定の通信の流れを追跡する機能として「Follow TCP/UDP/HTTP Stream」が挙げられます。これは、選択したパケットに関連する一連のストリームを再構成し、人間が読める形式で表示する機能です。例えば、Web ブラウザでページを表示しようとした際、DNS 解決から TCP 接続、HTTP リクエスト、そしてレスポンスまでのすべての手順を確認できます。この画面では、通信の内容（テキストデータ）だけでなく、ヘッダー情報も併記されるため、問題がどこで発生しているかを特定しやすくなります。

Expert Info は、Wireshark が自動で検出した警告やエラーを整理する機能です。キャプチャ中に「Reassembly failed」「TCP Retransmission」「Zero Window」などのメッセージが表示された場合、Expert Info ダイアログを開くことで詳細を確認できます。これらは単なる通知ではなく、ネットワークのボトルネックを示唆しています。「TCP Retransmission（再送）」が多く発生している場合は回線品質が劣化している可能性があり、「Zero Window」は受信側のバッファがいっぱいで送信側が停止している状態を示します。これらの情報を統合的に分析することで、パフォーマンス低下の根本原因を特定できます。

さらに、パケットの詳細ペインでは OSI モデル各階層のデータ構造を確認できます。Ethernet ヘッダーから始まり、IP ヘッダー、TCP/UDP ヘッダーと展開していくことで、通信経路やポート番号、シーケンス番号などを詳細に把握できます。特に TCP のフロー制御に関する情報（Window Size）や、遅延確認（ACK Delay）の値は、ネットワーク速度を測定する際の重要な指標となります。これらの数値を手動で計算する必要はなく、Wireshark が自動的に統計情報を提供してくれるため、初心者でも専門的な解析が可能になります。

高度な統計機能とグラフ分析

Wireshark の統計機能は、大量のパケットデータを定量的に評価するために不可欠です。「Statistics（統計）」メニューには、IO Graph、Conversations、Endpoints、Flow Graph など多岐にわたる分析ツールが用意されています。IO Graph は、時間経過に伴うパケット数やデータ転送量の推移をグラフ化します。これにより、通信が急増した瞬間や、スループットが低下した時間帯を視覚的に把握できます。例えば、夜間のバックアップ処理中にネットワークが遅延した場合、IO Graph を確認することで、その時間帯のトラフィック量と遅延時間の相関関係を証明できます。

Conversations と Endpoints は、通信対話やホストごとの統計情報を提供します。Conversations では、特定の IP アドレス同士がどれだけのデータを送受信したかがリスト表示されます。これにより、どの PC が最も多くネットワークを占有しているか、あるいは外部サーバーとの通信が異常に多いかなどをチェックできます。Endpoints では、各ホストへのパケット数の総計やプロトコルごとの分布を確認でき、ネットワークリソースの配分状況を把握するのに役立ちます。

Flow Graph は、通信の流れを時系列で視覚化する機能です。特に TCP の接続確立（3 手握手）や切断プロセスがわかりやすく表示されます。X 軸に時間、Y 軸にフローの ID を配置し、パケットの到着順と応答時間を矢印で表現します。これにより、通信ラウンドトリップタイム（RTT）のばらつきや、遅延の原因となる間隔を直感的に理解できます。また、特定のフローが時間外に発生しているかどうかも一目で判別できるため、セキュリティ上の不審な接続検知にも利用可能です。

下表に主要な統計機能とその具体的な分析用途をまとめました。

暗号化トラフィックの可視化｜TLS/QUIC/WireGuard

現代のネットワークでは TLS による暗号化が標準であり、HTTPS や DNS over HTTPS (DoH) が広く普及しています。このため、Wireshark でパケットの中身を確認するためには、復号化する仕組みが必要です。最も一般的な方法は「SSLKEYLOGFILE」環境変数を利用することです。ブラウザ（Chrome/Edge/Firefox）を特定の環境変数の下で起動すると、通信に使用される鍵がファイルに記録されます。これを Wireshark に読み込ませることで、暗号化された TLS トラフィックの中身を表示できるようになります。

具体的な手順として、まず OS の環境変数設定を行います。Linux や macOS では export SSLKEYLOGFILE=/tmp/sslkeylog.txt とコマンドで設定し、その状態でブラウザを起動します。Windows の場合、システムプロパティから環境変数を追加するか、PowerShell スクリプトを実行して設定します。その後、Wireshark でキャプチャを開始し、解析したいパケットを選択した上で「Edit → Preferences → Protocols → TLS」に移動し、「(Pre)-Master-Secret log file name」に先ほど作成したファイルパスを指定します。これにより、TLS 1.2 や 1.3 の通信内容が平文として表示されるようになります。

しかし、QUIC プロトコルや WireGuard VPN トラフィックについては、従来の SSLKEYLOGFILE 方式では復号化が困難な場合があります。QUIC は UDP をベースにしているため、TLS との統合方法が異なり、またエンドポイントごとに鍵管理が行われるためです。Wireshark 4.4+ では QUIC の解析機能が強化されていますが、完全なデコードには対応した設定や証明書が必要になる場合があります。特に WireGuard の場合、パケット構造自体が暗号化されたペイロードのため、外部ツールでの復号化が必須となります。セキュリティ上問題がある場合は、復号化を行わずにヘッダー情報のみで分析を行う方針も提案されます。

コマンドラインツール活用｜tshark と dumpcap

Wireshark は GUI ベースですが、その背後には強力なコマンドラインツールが存在します。tshark（The Wireshark Command Line）は、テキスト出力や自動化スクリプトに最適です。サーバー環境で GUI が利用できない場合や、大量のデータを継続的に監視する必要がある場合に威力を発揮します。例えば、特定の IP アドレスからのパケットをログファイルとして保存するには tshark -i eth0 -w output.pcap host 192.168.1.50 のようなコマンドを使用します。これにより、定期的なバックグラウンド監視や CI/CD パイプラインでのテストに組み込むことが可能になります。

dumpcap はより軽量なパケットキャプチャツールであり、Wireshark が提供する API を利用してデータを読み書きします。GUI が必要な場面では Wireshark を使用しますが、スクリプトで特定の条件を満たすパケットだけを抽出する場合や、低負荷で高速なキャプチャを行う場合は dumpcap が適しています。また、Wireshark の解析結果を他のツールと連携させる際にも、tshark を用いて出力形式（JSON, CSV, XML 等）を変換する処理が頻繁に行われます。

自動化スクリプトの例として、Python や Bash で tshark を呼び出すケースがあります。例えば、ネットワーク障害発生時に自動的にパケットを保存し、メール通知を送るシステムを構築する場合、tshark の出力を解析して条件分岐させるロジックが組まれます。このように、コマンドラインツールの理解は、Wireshark を単なる分析ツールからインフラ管理の基盤へと昇華させる鍵となります。

リモートキャプチャと SPAN ポート設定

サーバーやルーターなど、物理的にアクセスできない機器のネットワーク解析を行う場合、リモートキャプチャ機能が役立ちます。Wireshark は SSH（Secure Shell）接続を通じて遠隔地の機器に接続し、そこでキャプチャを開始・停止できます。これは PC 上の Wireshark から SSH でサーバーへログインする形で行われ、キャプチャデータはローカルマシンで受信されます。ただし、通信経路自体が影響を受ける可能性があるため、SSH 経由で大量のデータを送信する場合、帯域幅に余裕があることを確認する必要があります。

また、LAN スイッチ上の SPAN ポート（ポートミラーリング）を設定することで、特定のポートから流れるトラフィックを別のポートへコピーさせることができます。これにより、サーバー側の通信をクライアント側からキャプチャすることが可能になります。Cisco 製スイッチでは monitor session コマンドを使用し、他のベンダーでも同様の機能を持つ SPAN ポートが用意されています。設定例として、「Port 1 の入出力」を「Port 24 にコピー」という設定を行います。Wireshark はこのミラーリングされたポートに接続した PC からキャプチャを実行します。

ただし、SPAN ポート設定はネットワーク管理者の権限が必要です。誤った設定がループやパケットロスを引き起こす可能性があるため、変更前には必ずバックアップを取得してください。また、暗号化トラフィックの場合も SPAN ポートを介して取得できるため、復号化の手順は通常通り適用可能です。リモートキャプチャと SPAN ポートの違いを整理すると、前者は遠隔地への接続によるキャプチャであり、後者はスイッチ機能を活用したトラフィックコピーです。目的に応じて使い分けることが重要です。

下表にリモートキャプチャ手法の違いを比較しました。

実践トラブルシューティングケーススタディ

Wireshark の真価は、実際のトラブルを解決する際に発揮されます。ここでは代表的な 5 つのトラブルシューティング事例を紹介します。まず「HTTP 遅延調査」では、Web ページの読み込みが遅い場合に使用します。Expert Info を確認し、TCP Delay や Retransmission が目立つ場合、ネットワーク輻輳やルーターの処理落ちが疑われます。また、DNS の応答時間が長い場合は dns フィルタで特定し、ネームサーバーの応答性を確認します。

「DNS 問題」では、ドメイン名が解決されないケースです。dns.flags.response == 0 でリクエストパケットを抽出し、エラー応答（rcode: NXDOMAIN など）があるかを確認します。キャッシュの問題や DNS サーバーの不具合が考えられます。「ARP スプーフィング検知」では、同一 IP に複数の MAC アドレスからの ARP レスポンスが流れていないかチェックします。これにより、中間者攻撃（MITM）の兆候を早期に発見できます。

「TCP 再送問題」は、パケットロスやウィンドウサイズ制限が原因で発生します。シーケンス番号の不連続性や Window Size がゼロになる瞬間を確認し、ネットワーク経路または送信側のバッファ状態を特定します。「SIP VoIP 品質」では、通話の音切れを調査するために RTP プロトコルの統計を分析します。Jitter（ジッター）やパケットロス率が高い場合、QoS 設定の見直しが必要です。

下表にトラブルごとの推奨フィルタと解析ポイントをまとめました。

まとめ：Wireshark を活用したネットワーク可視化

以上、Wireshark の基本的なインストールから高度な分析機能までを解説しました。このツールは、ネットワークの「目に見えない問題」を可視化する強力な武器となります。特に 2026 年現在では、QUIC や TLS1.3 などの最新プロトコルへの対応が進んでおり、複雑化する通信環境でも信頼性の高い解析が可能になっています。

本記事の要点を以下にまとめます。

• インストール: Windows では Npcap の設定、Linux/Ubuntu ではグループ権限の確認が必須。
• フィルタリング: キャプチャフィルタで負荷軽減、表示フィルタで詳細検索を行う使い分けが必要。
• 分析機能: Follow Stream で通信追跡、Expert Info でエラー検知、IO Graph で負荷確認が可能。
• 暗号化解析: SSLKEYLOGFILE 環境変数を利用することで TLS/HTTP トラフィックの復号化が実現。
• トラブルシューティング: 具体的なフィルタを用いて、DNS や TCP の問題を特定するプロセスを確立する。

Wireshark は単にパケットを見るだけでなく、ネットワーク設計の改善やセキュリティ強化にも寄与します。これらの知識を実践で積み重ねることで、あなたのネットワーク運用スキルは一段階向上することでしょう。不明点があれば FAQ セクションも参照し、引き続き学習を進めてください。

よくある質問（FAQ）

Q1. Wireshark で特定のポート番号のトラフィックだけを表示するには？ A1. 表示フィルタ tcp.port == 80 または udp.port == 53 を使用します。この構文により、指定したポート番号で送受信されるパケットのみが抽出されます。また、複数のポートを除外したい場合は !(tcp.port == 22) のように否定形で指定可能です。

Q2. HTTPS の通信内容を平文で見たいのですがどうすれば？ A2. ブラウザの環境変数 SSLKEYLOGFILE を設定して起動し、Wireshark で対応する TLS プロトコル設定にログファイルパスを登録します。これにより、暗号化鍵が取得され、通信内容が表示可能になります。HTTPS サーバー側での復号化設定も併せて確認してください。

Q3. Wireshark を実行するとエラーメッセージが出ますが？ A3. 多くの場合、ネットワークインターフェースへのアクセス権限不足です。Windows では管理者として実行し、Linux/macOS では sudo wireshark またはユーザーグループに追加することで解決します。Npcap ドライバーが正しくインストールされているかも確認してください。

Q4. パケット数が多すぎて Wireshark がフリーズします。 A4. キャプチャファイルのサイズ制限を設定するか、キャプチャフィルタで不要なトラフィックを除外してください。また、リングバッファモードを使用して古いデータから上書き保存する設定に変更すると、メモリ負荷が軽減されます。

Q5. QUIC プロトコルのパケットの中身はどうやって解析できますか？ A5. Wireshark 4.4+ では QUIC のデコード機能が強化されていますが、完全な復号化には TLS キーログや専用の証明書設定が必要です。通常はヘッダー情報のみに着目し、UDP プロトコルとして扱われる傾向があるため、QUIC プロトコル解析機能を有効にしてください。

Q6. Wireshark の保存ファイル形式は何が最適ですか？ A6. 標準的には .pcapng が推奨されます。これはメタデータを多く保持でき、後でフィルタリングや解析を行う際に柔軟性が高まります。互換性を重視する場合は従来の .pcap も利用可能ですが、機能的には .pcapng の方が優れています。

Q7. 遠隔地のサーバーのトラフィックをキャプチャするには？ A7. SSH を介したリモートキャプチャ機能を利用するか、スイッチの SPAN ポートを設定してミラーリングされたポートから取得します。SSH キャプチャは手軽ですが帯域幅に注意が必要であり、SPAN ポートはネットワーク管理者の権限が必要です。

Q8. 専門用語である「プロミスキュアスモード」とは？ A8. これはネットワークアダプターが宛先 MAC アドレスに関係なく、すべてのパケットを受信するモードです。通常は自分宛てのパケットのみを受けますが、このモードを有効にするとネットワークの全通信を傍受可能になります。

Q9. Wireshark でセキュリティ上のリスクはないですか？ A9. ツール自体は安全ですが、キャプチャファイルには機密情報（パスワードや個人データ）が含まれる可能性があります。分析結果を外部と共有する際は、パケット内の機密情報をマスキングまたは削除してから行うことを強く推奨します。

Q10. tshark を使用して自動でログを取得するには？ A10. コマンド tshark -w output.pcap host 192.168.1.5 を実行し、条件付きで継続的なキャプチャが可能です。スクリプトと組み合わせることで、監視システムの一部として常時稼働させることが可能です。