中間者攻撃とは
中間者(MITM)攻撃とは、サイバー攻撃者が標的者に気付かれないように、2者間の通信を傍受する、高度なサイバー攻撃手法です。この種の攻撃は、メールのやり取りやWebブラウジング、その他のデータ転送など、あらゆる形式のオンライン通信で発生する可能性があります。攻撃者は通信の「中間」に位置し、盗聴、データの改ざん、または標的者の一方になりすまして、機密情報への不正アクセスを試みます。
中間者攻撃は、個人と組織の双方に深刻な脅威をもたらします。金銭的損失、情報漏洩、評判の失墜につながる可能性があるほか、顧客の機密データが侵害された場合には、法的な問題に発展する恐れもあります。
中間者攻撃はどう起きる?その仕組みを解説
中間者攻撃を実行するには、攻撃者が通信中のメッセージを観察し、傍受できるネットワーク上の位置を確保する必要があります。攻撃者が通信経路上への配置に成功すると、一般的に以下の3つの悪意ある行為が実行されます。
- 会話を受動的に盗聴し、機密情報(ログイン クレデンシャル、クレジット カード番号、個人情報、機密性の高い企業データ)へアクセスする。
- 通信内容を改ざんし(例:受信者を欺くための偽情報を挿入する、または特定の反応を引き起こす)、本来の受信者へ改ざんしたメッセージを転送する。例えば、銀行取引では、攻撃者が口座番号を改ざんし、資金を自分の口座へ振り向けることが可能になる。
- 認証が完了した後、ユーザーとサーバー間のセッションを乗っ取る。この攻撃は高度な種類の攻撃で、攻撃者は認証済みユーザーになりすまして、未認証の接続を確立したり、悪意のあるデータを送り込んだりできる。
中間者攻撃でよく使われる手法を理解することで、これらの攻撃からユーザーを保護し、ネットワークをセキュアに維持するために適切なセキュリティ対策を講じることが可能になります。
以下、中間者攻撃でよく使われる手法を14個紹介します。
攻撃手法 | 概要 |
|---|---|
ARPスプーフィング | 攻撃者がMACアドレスを偽装し、通信を自身にリダイレクトして傍受・改ざん。 |
Bluetooth攻撃 | Bluetoothの脆弱性を突き、ペアリング通信を盗聴。 |
ブラウザベース攻撃 | Webブラウザの脆弱性を利用し、悪意のコードを実行。 |
DNSスプーフィング | DNSを改ざんし、正規サイトへのアクセスを悪意あるサイトへリダイレクト。 |
なりすましメール | 送信元を偽装したメールを送り、信頼を装う。 |
拡張子偽装 | ファイルの拡張子を変更し、無害に見せかけたマルウェアを実行させる。 |
IPスプーフィング | IPアドレスを偽装し、正規な通信と誤認させる。 |
悪意のあるプロキシサーバー | 偽のプロキシを使い、通信内容を傍受・改ざん。 |
パケットスニッフィング | ネットワークトラフィックを盗聴・解析。 |
物理アクセス | デバイスやネットワークへ直接アクセスし、通信を傍受。 |
SSL ストリッピング | HTTPS通信をHTTPにダウングレードして通信内容を傍受。 |
セッション ハイジャック | Cookieやトークンを盗み、ユーザーになりすましてアクセス。 |
Webサイト・ドメインなりすまし | 似たドメイン名で偽サイトを作成し、ユーザーを欺いて情報を奪取。 |
Wi-Fi盗聴 | 偽のWi-Fiを設置し、接続したユーザーの通信を傍受。 |
それぞれ解説します。
ARPスプーフィング
攻撃者はローカル ネットワーク内のARPメッセージを操作し、自身のメディア アクセス制御(MAC)アドレスを、正規のデバイスのインターネット プロトコル(IP)アドレスに紐付けます。標的となる正規デバイスはゲートウェイやルーターであることが多いです。これにより、本来であれば正規デバイスに送られるはずのトラフィックが攻撃者のデバイスへリダイレクトされます。攻撃者はネットワーク トラフィックを傍受、改ざん、または遮断できるようになり、中間者攻撃を実行できるようになります。
Bluetooth攻撃
攻撃者は、Bluetooth対応デバイスの脆弱性を悪用してセキュリティを侵害し、ペアリングされたデバイス間の通信を傍受します。
ブラウザベース攻撃
Webブラウザや関連プラグインの脆弱性が悪用され、正規のWebサイトに悪意のあるコードが挿入されます。ユーザーがこれらのサイトを閲覧すると、悪意のあるコードが実行されます。
DNSスプーフィング
DNSスプーフィング攻撃はDNSキャッシュ ポイズニングとも呼ばれ、攻撃者はDNSサーバーを侵害する、またはDNSキャッシュを汚染することで、正規のドメイン要求を自身が制御する悪意のあるIPアドレスへリダイレクトします。
なりすましメール
攻撃者はメールのヘッダー情報を操作して正規のメール アドレスを偽装し、あたかも信頼された送信元から送られたかのように見せかけます。
拡張子偽装
拡張子偽装では、攻撃者は悪意のあるファイルの拡張子を変更し、無害なファイル形式に見せかけます。例えば、マルウェアの.exeファイルを、正規の.pdfや.jpgファイルに見えるようにリネームする場合があります。受信者がそのファイルを開くと、隠されていた悪意のあるソフトウェアが実行されます。
IPスプーフィング
攻撃者は送信元IPアドレスを偽装したIPパケットを作成し、自身の身元を隠したり、別のシステムになりすましたりします。この偽装によって、悪意のあるトラフィックを正規のトラフィックだとネットワーク デバイスに誤認させることが可能になります。
悪意のあるプロキシ サーバー
攻撃者はプロキシ サーバーを設置し、クライアントとサーバー間の通信を傍受・中継することで、プロキシを通過するデータを盗聴したり、改ざんしたりします。これらのサーバーは正規のものに見える場合が多く、検知を回避することも可能です。
パケット スニッフィング
攻撃者はパケット スニッフィング ツールを使用して、ネットワーク トラフィックを取得・分析します。
物理アクセス
攻撃者がネットワーク インフラやデバイスへの物理アクセスが可能な場合、ネットワーク ケーブルへのタップや不正な監視デバイスの設置によって、通信を直接傍受できます。
SSLストリッピング
攻撃者は、最初のHTTPSリクエストを傍受し、ユーザーのブラウザに偽のSSL証明書を提示することで、セキュアなHypertext Transfer Protocol Secure(HTTPS)接続を暗号化されていないHypertext Transfer Protocol(HTTP)へダウングレードします。
セッション ハイジャック
攻撃者はセッションCookieやトークンを盗み、認証済みユーザーになりすまして不正アクセスを行い、そのアカウントや機密情報に侵入します。
Webサイトやドメインのなりすまし
Webサイトのなりすましは中間者攻撃の一種で、攻撃者が正規Webサイトのドメインに非常に似たドメイン名を使用し、ユーザーに正規サイトとやり取りしていると誤認させる手口です。例えば、正規サイトが「organization.com」である場合、偽装されたサイトは「organzation.com」(1文字抜けている)や「organization.support.com」(偽のサブドメインを含めている)といった例が挙げられます。
Wi-Fi盗聴
攻撃者は、正規ネットワークに似た名称の不正なWi-Fiアクセス ポイントを設置し、ユーザーを接続させる手口を用います。ユーザーが接続すると、攻撃者はその不正なアクセス ポイントを通過するすべてのトラフィックを傍受・監視できるようになります。
中間者攻撃を未然に防ぐ8つの対策
中間者攻撃を防止するには、予防的なセキュリティ対策を複数組み合わせて講じる必要があります。以下に、中間者攻撃のリスクを軽減するために有効なセキュリティ対策を示します。
対策 | 概要 |
|---|---|
ネットワーク デバイスの設定確認 | 不要なサービスの無効化、デフォルトパスワードの変更、セキュアなプロトコルによるリモート管理などを徹底。 |
ネットワークの継続的監視 | IDS/IPSや監視ツールで異常を検知し、リアルタイムでのアラートや自動応答を実施。 |
ユーザー教育の実施 | フィッシング、偽サイト、メールの確認、パブリックWi-Fi回避など、ユーザー行動に関する教育を強化。 |
証明書ピンニングの採用 | 正規のSSL/TLS証明書を固定し、不正な証明書による通信傍受を防止。 |
通信チャネルの暗号化 | SSL/TLSやVPNを用いてデータ転送時の通信内容を保護。 |
ソフトウェア更新の徹底 | OSやアプリ、ファームウェアのパッチを即時適用し、脆弱性を最小化。 |
ネットワークのセグメント化 | システムやデータを分離し、攻撃者の移動範囲を制限。ネットワーク全体のリスク低減。 |
HTTPSの利用 | Web通信は常にHTTPSを使用し、通信経路の暗号化を保証。 |
それぞれ解説します。
ネットワーク デバイスの設定を確認する
すべてのルーター、スイッチ、その他のネットワーク デバイスが、セキュリティに最適な設定になっていることを確認します。これには、不要なサービスの無効化、デフォルト パスワードの変更、さらにリモート管理にセキュアなプロトコルを実装することなどが含まれます。
ネットワークを継続的に監視する
ネットワーク監視システムや侵入検知システムを使用することで、中間者攻撃の可能性を示す異常なアクティビティを特定できます。これらのツールは、リアルタイムのアラートと自動化された応答メカニズムを提供し、脅威が検出された際に迅速な軽減を可能にします。
ユーザー教育を実施する
中間者攻撃のリスクについて、ユーザー教育を行います。重点的に取り組むべき領域としては、リンクをクリックする前にWebサイトの真正性を確認すること、添付ファイルを開く前に内容を確認すること、メールを確認する際に送信者を確認すること、フィッシングやその他のソーシャル エンジニアリングなどの手口への注意喚起、そしてセキュアでないパブリックWi-Fiネットワークへの接続を避けることなどが挙げられます。
証明書ピンニングを採用する
特定のSSL/TLS証明書をアプリケーションに紐付けるために証明書ピニングを実装します。これにより、攻撃者が不正な証明書を提示して通信を傍受することを防止できます。
通信チャネルを暗号化する
強力な暗号化(SSL/TLSや仮想プライベート ネットワーク(VPN)など)を実装して、通信および転送中のデータを保護します。
ソフトウェアの更新プログラムとパッチを適用する
攻撃者が悪用する可能性のある脆弱性を排除するため、すべてのソフトウェア、OS、ファームウェアを最新の状態に保ちます。
ネットワークをセグメント化する
ネットワークを複数のセグメントに分割し、重要なシステムや機密データを分離することで、ラテラル ムーブメントを制限し、攻撃者のアクセス範囲を限定してネットワーク全体が侵害されるリスクを低減します。
HTTPSを使用する
Webサイトでは常にHTTPSを使用し、ユーザーのブラウザとWebサイト間のデータを暗号化します。
まとめ
中間者攻撃は、さまざまな手法で実行できることから発生頻度が高く、成功しやすい攻撃です。これを防止するための手段はいくつも存在します。多くの場合、すでに導入されているテクノロジーを、この種の攻撃の防止に適用するだけで対処が可能になります。
中間者攻撃に対するセキュリティ対策を実装するための投資や労力は、十分に価値があります。中間者攻撃を防御するためのシステムは、他の領域におけるセキュリティ強化にもつながります。
