中間者攻撃とはその名の通り、通信を行っている二者の「中間」に第三者が介入し、通信内容を盗聴したり機微な情報を窃取したりするタイプの攻撃です。本記事では、さまざまな種類の中間者攻撃について概要や手口を簡単に説明し、実際の事例も紹介した上で、主な対策などについて解説します。
- 中間者攻撃によるリスク
- 中間者攻撃の主な手口
- Wi-Fi盗聴
- IPスプーフィング
- DNSキャッシュポイズニング
- ARPキャッシュポイズニング
- セッションハイジャック
- 多要素認証を破る中間者攻撃
- セッションハイジャック
- 認証トークンの窃取
- 中間者攻撃の検知は困難
- 公共Wi-Fiは利用させない
- HTTPS通信のサイトのみを利用させる
- 強力なパスワードを使用させ、多要素認証を設定させる
- その他の対策
中間者攻撃とは?概要をわかりやすく
中間者攻撃とは、ユーザーとWebサーバーなど、通信を行っている二者(当事者)の間に悪意を持った第三者が割り込み、不正を行う攻撃のことを言います。英語では「Man-in-The-Middle(マン・イン・ザ・ミドル)」攻撃と呼ばれるため、これを略して「MiTM攻撃」と表記されることもあります。
中間者攻撃によるリスク
中間者攻撃を受けた場合の影響は多様で、例えば以下のような被害が生じる恐れがあります。
- 重要なデータや機密性の高いデータが漏洩する/盗まれる
- 情報を改ざんされる
- 不正なデータを挿入される
- ランサムウェアを展開される など
中間者攻撃の手口や種類
中間者攻撃の代表的な手口としては、主に以下のようなものが挙げられます。
- Wi-Fi盗聴
- IPスプーフィング
- DNSキャッシュポイズニング
- ARPキャッシュポイズニング
- セッションハイジャック など
Wi-Fi盗聴
実在の施設や組織に似せた名称の悪意あるWi-Fiホットスポットを作成し、知らずに接続したユーザーからデータを傍受・盗聴するという手法です。このような攻撃は、「悪魔の双子攻撃(Evil Twin Attack)」とも呼ばれます。
<悪魔の双子攻撃のイメージ>
なお、オーストラリアでは、今年実際に悪魔の双子攻撃により個人情報を盗み取ったとされる容疑者が逮捕されています。詳しくはこちらの記事をご覧ください:偽の機内Wi-Fiで乗客の個人情報が盗まれる オーストラリア
IPスプーフィング
ネットワーク通信の送信元のIPアドレスを偽装することにより、ユーザーに「正しい相手と通信している」と思い込ませ、機微な情報を傍受したり、有害なサイトへ誘導したりする手口です。サービス拒否(DoS)攻撃や分散型サービス拒否(DDoS)攻撃を仕掛ける際に使われることも多々あります。
なお、スプーフィングとは「(人を)騙す」、「かつぐ」といった意味を持つ英単語「Spoof」がもとになった言葉で、実在する企業や組織、取引先の担当者など、信頼された存在になりすますことでユーザーやシステムを騙す手口のことを言います。
DNSキャッシュポイズニング
ドメイン名とIPアドレスを紐付ける仕組み「DNS」を悪用する手口です。通信時のDNSサーバーへのIPアドレスやドメイン名の問い合わせ結果は、「DNSキャッシュ」として一時的に保管されますが、IPアドレスとドメインの対応関係を不正に改ざんしてこのDNSキャッシュをポイズニング(汚染)し、ユーザーのトラフィックを意図されたものとは異なる偽サイトへリダイレクトさせるのがDNSキャッシュポイズニングという手法です。有害サイトへの誘導のほか、Eメールの内容の盗聴/改ざんやスパムの送信、DoS攻撃の実施といった目的を達成するために使われることもあります。
<正常なDNS問い合わせのイメージ>
<DNSキャッシュポイズニングのイメージ>
キャッシュの改ざんを実現するために、攻撃者はDNSサーバーの脆弱性を悪用するか、ユーザーのDNS設定を変更できるマルウェアを利用します。この手法は「DNSスプーフィング」と呼ばれることもあります。
なおこの手法は、中国を拠点とするハッカーグループによって実際に採用されていたとの報告があります。詳しくはこちらの記事をご覧ください:中国ハッカーEvasive Panda、ISP侵害しDNSポイズニングによりマルウェア拡散
ARPキャッシュポイズニング
IPアドレスとMACアドレスの関連付けを行うための通信プロトコル「ARP」を悪用する手口です。ARPでは、例えばネットワーク通信の送信先にしたいIPアドレスから、そのIPアドレスに対応するMACアドレスを求めると(ARPリクエスト)、該当するMACアドレスが返されます(ARPリプライ)。このARPリクエストとARPリプライの情報、つまりIPアドレスとMACアドレスの対応関係に関する情報は、「ARPキャッシュ」として一定時間ネットワーク機器に保存されます。ARPキャッシュポイズニングは、ARPリクエストに対し、攻撃者が自身の制御する機器のMACアドレスを提供することにより、このARPキャッシュをポイズニング(汚染)するという手法です。これにより、ターゲットからの通信は本来意図した宛先ではなく攻撃者の機器へと送られるため、通信の盗聴が可能になります。
セッションハイジャック
ユーザーとWebサイトなど、ある2者間で確立されたセッションを乗っ取る攻撃です。セッションとは、ユーザーがサイトへアクセスしてからサイトの利用を終了するまでの一連の通信のことで、各セッションには「セッションID」が生成されてアクセス終了までのすべての行動は同一ユーザーによるものと判断されます。セッションハイジャックは、このセッションIDを推測するか、窃取するなどして不正に入手し、正規のユーザーになりすましてセッションを乗っ取るという手口です。ログイン後のセッションを乗っ取れば、IDやパスワードを入手せずとも、ターゲットアカウント内の機微な情報を盗み出すことができます。
<セッションハイジャックのイメージ>
多要素認証を破る中間者攻撃
近年、IDとパスワードでの認証後にSMS認証や生体認証などの別要素による認証も行うという多要素認証が普及し始めています。ただ、中間者攻撃の中には多要素認証を破るタイプのものも存在します。特に、登録した電話番号やEメールアドレス宛に認証コード(ワンタイムパスワード)を送信して認証するという方式の場合にこのリスクがあり、例えば、攻撃者により偽の認証用サイト(フィッシングサイト)がユーザーに提示され、これを本物のサイトと思い込んだユーザーが認証コードを入力すると、攻撃者はこのコードを入手して認証を突破することが可能です。このような攻撃は、「Adversary in The Middle攻撃(AiTM攻撃)」と呼ばれることもあります。なお、マイクロソフトが10月15日に公開したレポートによれば、AiTMに分類されるタイプのフィッシング攻撃件数はここ1年間で1.46倍に増えているそうです。
こうした攻撃手法の存在があるため、多要素認証の導入時は生体情報やソフトウェアトークン、セキュリティキーなど、SMSやEメール以外の認証方法を利用することが推奨されています。
※多要素認証について詳しくは、こちらの記事もご覧ください:
近年における中間者攻撃の事例
Citrix製品の脆弱性により、複数のユーザーがセッションハイジャックの被害に
2023年10月、Citrix社は同社のネットワークアプライアンス製品Citrix NetScaler ADCおよびNetScaler Gatewayの脆弱性(CVE-2023-4966)に対する修正プログラムをリリースしました。「Citrix Bleed」と名付けられたこの脆弱性は、悪用することで認証済みのユーザーによる既存のセッションを乗っ取り、デバイス上の機微な情報を盗み出せるようになるものです。実際に複数のハッカーたちが、Citrix Bleedを悪用して認証後に発行されたセッションクッキーを盗むことにより、NetScalerのアカウントの乗っ取りを成功させていました。なおこの脆弱性は、ランサムウェア「LockBit」を展開するための攻撃でも使われていたことが報告されています。
※Citrix Bleedについては、以下の記事もご覧ください:
フィッシングによる認証情報や2FAトークンの窃取
米国で人気のソーシャルメディアサイト「Reddit」は2023年2月、同社の従業員を狙ったフィッシング攻撃の発生を認識しました。この攻撃の手口は、Redditのイントラネットゲートウェイの挙動をそっくり真似たフィッシングサイトを作成し、そこに従業員を誘導して認証情報や二要素認証(2FA)用トークンを盗み出すというものです。この偽サイトに入力されたReddit従業員の認証情報を入手した攻撃者は、これを利用して一部の内部文書やコードなどの情報へアクセスすることができたと報告されています。
※多要素認証や二要素認証を破る攻撃については、以下の記事もご覧ください:
中間者攻撃への対策
中間者攻撃の検知は困難
中間者攻撃を検知するためには以下の4点を実施することが重要だとされています。
①想定されていない通信の有無をチェックする
②ネットワークトラフィックのスキャンを行う
③SSL/TLSの検証を行う
④アンチマルウェアソフトをインストールしておく
ただし、中間者攻撃は検知が非常に困難なタイプのサイバー攻撃であるため、まずは予防の方に重点を置いて対策することが大切です。例えば従業員に以下の3点を徹底させるだけでも、中間者攻撃の被害に遭うリスクを軽減することができます。
公共Wi-Fiは利用させない
前述のように、無料の公共Wi-Fiは中間者攻撃の手段として使われることが多々あります。従業員には、WPA3など最新のセキュリティ規格に対応した信頼のおけるWi-Fiネットワークにしか接続しないように指導するのが理想的です。
HTTPS通信のサイトのみを利用させる
HTTPSを使った方式では通信が暗号化されるため、暗号化されないHTTP通信よりも安全性が増します。
強力なパスワードを使用させ、多要素認証を設定させる
推測しやすい単純なパスワードを利用したり、パスワードを使い回したりすることを禁止するのが理想的です。また上述した通り、多要素認証の設定時にはSMS認証やメールによる認証はなるべく避け、生体認証やハードウェアトークン、認証アプリ、セキュリティキーなどによる認証方式を採用することが推奨されます。
その他の対策
上記以外の有効な対策としては、以下のようなものが挙げられます。
- OSやソフトウェアを常に最新状態に保つ
- ネットワークのセグメンテーションを行う
- VPNを利用する
- ゼロトラストソリューションを導入する(※)
- 従業員教育やフィッシング対策トレーニングなどを通じてセキュリティ意識を向上させる(※※)
※ゼロトラストセキュリティについては、こちらの記事もご覧ください:ゼロトラストセキュリティとは?5つの構成要素と対策の具体例
※※従業員への情報セキュリティ教育については、こちらの記事もご覧ください:情報セキュリティ教育はなぜ必要?「人」が原因のリスクや教育内容について解説
最後に
上述の通り、中間者攻撃を予防するためにはまず基本的なセキュリティ対策をしっかりと実施することが重要です。IPA(独立行政法人情報処理推進機構)の資料「セキュリティ対策の基本と共通対策(情報セキュリティ 10 大脅威 2024 版)」や、「中小企業の情報セキュリティ対策ガイドライン」には、セキュリティを実施する上での方針の決め方や基本的な対策などが紹介されています。こうしたガイドライン類を活用し、強固なセキュリティ体制を構築して中間者攻撃をはじめとするサイバー攻撃に備えることが重要です。
ただ、自社単独でセキュリティに取り組むのが難しい、そもそもどんなリスクがあるのかわからない、知識のある従業員がいない、などの課題がある場合には、セキュリティコンサルサービスの利用を検討することをお勧めします。弊社マキナレコードでも、リスク特定のお手伝いやセキュリティポリシー/規程類の策定、ISMSやプライバシーマークの取得、情報セキュリティ教育、CSIRTの構築など、幅広い支援メニューをご用意しています。詳しくは弊社ホームページをご覧いただくか、以下のバナーより資料をご請求ください。
関連投稿
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。