Man-in-the-Middle (MITM) 攻撃
中間者攻撃とは?
中間者(Man-in-the-Middle)攻撃とは、サイバー犯罪者が企業間や人々の間で送信されるデータを傍受するサイバー攻撃のことです。傍受の目的は、金銭の恐喝など悪意のある目的のためにデータを盗む、盗聴する、変更することです。
中間者攻撃の仕組みとは?
MITM 攻撃は、既存のネットワークを操作するか、サイバー犯罪者が支配する悪意のあるネットワークを作成することによって行われます。サイバー犯罪者はトラフィックを傍受し、そのトラフィックを通過させて情報を収集するか、別の場所に迂回させます。
サイバー犯罪者は基本的に、情報を送信する側と受信する側の間の「仲介者」として行動するため、「中間者攻撃」と呼ばれています。このような攻撃は、特に公共の Wi-Fi では驚くほどよく見られるものです。公共の Wi-Fi はセキュリティで保護されていないことが多く、誰でもサインオンできるため、誰がウェブトラフィックを監視または傍受しているか分かりません。
MITM 攻撃の種類
MITM 攻撃にはいくつかの種類があり、今日最も汎用性の高いサイバー脅威の 1 つとなっています。
公衆無線 LAN
最も一般的な MITM 攻撃手法の一つは、公衆無線 LAN を利用したものです。公衆無線 LAN はセキュリティが施されていないことが多く、サイバー犯罪者はネットワークに接続されているすべてのデバイスからのウェブトラフィックを見ることができ、必要に応じて情報を盗み出すことができます。
不正なアクセスポイント
不正アクセスポイントとは、正規のネットワークに設置された無線アクセスポイントのことです。これにより、サイバー犯罪者は受信トラフィックを傍受または監視し、多くの場合、マルウェアのダウンロードを促したり、ユーザーを恐喝したりするために、まったく別のネットワークに迂回させることができます。 マルウェアとは、被害者のデバイスにインストールされ、データをスパイしたり盗むために使用される悪意のあるソフトウェアの一種です。
IP スプーフィング
IP スプーフィングとは、IP アドレスを変更して攻撃者のウェブサイトにトラフィックを迂回させることです。攻撃者は、パケットヘッダを変更することでそのアドレスに「なりすまし」、正規のアプリケーションやウェブサイトに偽装します。
ARP スプーフィング
この攻撃は、偽の ARP メッセージを使用して、攻撃者の MAC アドレスとローカルエリアネットワーク上の被害者の IP アドレスを結びつけるものです。被害者がローカルエリアネットワークに送信したデータは、代わりにサイバー犯罪者の MAC アドレスに再ルーティングされるため、サイバー犯罪者はデータを自由に傍受し、操作することができます。
DNS スプーフィング
サイバー犯罪者がウェブサイトの DNS サーバーに侵入し、ウェブサイトのウェブアドレスレコードを改ざんします。変更された DNS レコードは、代わりに受信トラフィックをサイバー犯罪者のウェブサイトに再ルーティングします。
HTTPS スプーフィング
ユーザーが https:// というプレフィックスを持つ安全なサイトに接続すると、サイバー犯罪者は偽のセキュリティ証明書をブラウザに送信します。これにより、ブラウザは接続が安全であるかのように「なりすまし」しますが、実際にはサイバー犯罪者がデータを傍受し、場合によっては再ルーティングしています。
セッションハイジャック
サイバー犯罪者は、セッションハイジャックを行い、ウェブやアプリケーションのセッションを支配します。ハイジャックは、正規のユーザーをセッションから追い出し、必要な情報を得るまでアプリやウェブサイトのアカウントに効率的にサイバー犯罪者をロックします。
パケットインジェクション
サイバー犯罪者は、トラフィックにアクセスして監視したり、DDoS 攻撃を開始するために、普通に見えるパケットを作成し、確立されたネットワークに注入します。Distributed Denial-of-Service(DDoS、分散型サービス拒否)攻撃とは、インターネットトラフィックの洪水でサーバーを圧倒することで、サーバーの正常なトラフィックを妨害しようとする試みです。
SSL ストリッピング
サイバー犯罪者は、アプリケーションまたはウェブサイトからの TLS 信号を傍受し、サイトが HTTPS ではなく HTTP として保護されていない接続で読み込まれるように変更します。これにより、ユーザーのセッションがサイバー犯罪者にとって閲覧可能となり、機密情報が暴露されてしまいます。
SSL スプーフィング
この方法は、安全なサイトのアドレスに「なりすまし」をして、被害者がそこに移動するようにします。サイバー犯罪者は、被害者とアクセスしたいサイトのウェブサーバーとの間の通信をハイジャックし、悪意のあるサイトを正規サイトの URL として偽装します。
SSL BEAST
サイバー犯罪者は、ユーザーのコンピュータに悪意のある JavaScript を感染させます。このマルウェアは、ウェブサイトの Cookie や認証トークンを傍受して復号し、被害者のセッション全体をサイバー犯罪者にさらします。
ブラウザ Cookie を盗む SSL
Cookie とは、訪問したサイトがユーザーの端末に保存する便利なウェブサイト情報のことです。これらは、ウェブ上のアクティビティやログインを記憶するのに便利ですが、サイバー犯罪者はその情報を得るために Cookie を盗み、悪意のある目的に利用することができます。
スニッフィング
スニッフィング攻撃は、情報を盗むためにトラフィックを監視します。スニッフィングは、アプリケーションまたはハードウェアで実行され、被害者のウェブトラフィックをサイバー犯罪者にさらします。
中間者攻撃を検知する方法
MITM 攻撃を検知することで、企業や個人はサイバー犯罪者が引き起こす潜在的な被害を軽減することができます。ここでは、いくつかの検知方法をご紹介します。
奇妙なウェブアドレスの分析
- 検索バーや URL バーに奇妙なウェブアドレスが表示されていないか、ウェブブラウザをチェックしてください。DNS ハイジャックは、一般的なアドレスのスプーフィングを作成することができます。例えば、攻撃者は「www.facebook.com」を「www.faceb00k.com」に置き換えるかもしれません。このスプーフィング手法は驚くほどうまく機能し、よく見ないとほとんどの人が単純な変更を見逃してしまいます。
予期せぬ切断やネットワークの遅延
- ある種の MITM 攻撃は、突然、予期せぬネットワークの遅延や完全な切断を引き起こします。これらは時間の経過とともに発生することがあり、通常、ネットワーク障害などの明らかな症状は伴いません。
- ネットワークで頻繁に切断や遅延が発生する場合は、それが単なるネットワークの問題ではないことを確認するためによく調べるのが良いでしょう。
公衆無線 LAN の監視
- 攻撃者は、公共のネットワーク経由で送信される情報を傍受したり、公共の場所に偽のネットワークを作成したりすることがよくあります。このようなネットワークによって、サイバー犯罪者は、攻撃を受けていることに気づかせずに、すべてのウェブアクティビティを見ることができます。可能な限り公共の WiFi は避け、接続する必要がある場合は VPN を使用しましょう。また、怪しい名前の見知らぬネットワークへの接続も避けるべきです。
中間者攻撃を防ぐには
中間者攻撃を防ぐことで、個人や企業の損害を数千ドル単位で抑えることができ、ウェブ上や公共の場でのアイデンティティを維持することができます。ここでは、MITM 攻撃を防ぐために不可欠なツールを紹介します:
パスワード・マネージャー
- 適切なネットワークセキュリティ機能を備えたパスワードマネージャーを使用することで、すべてのログイン情報を安全に保管することができます。重要な MITM 防止機能の一つはエンドツーエンドの暗号化です。Keeper は公開鍵基盤(PKI)を使用するボルト間の共有にエンドツーエンドの暗号化を統合しました。これは、サイバー犯罪者が転送中のパスワードやその他の共有記録を傍受することはできないということを意味します。企業向けに、共有チームフォルダや管理者がチーム内のアクセスを制限し、分割することを可能にするロールベースの制御 機能も提供しています。
仮想プライベートネットワーク
- 仮想プライベートネットワーク(VPN)は、すべてのインターネットトラフィックを複数の異なるサーバーに迂回させることで、ユーザーの IP アドレスを効果的に隠し、よりプライベートで安全なブラウジングセッションを実現します。また、VPN にはメッセージやその他のデータを保護するのに役立つ固有の暗号化も含まれています。
