中間者(MITM)攻撃とは、ハッカーが2つのオンラインターゲット(ユーザーとWebアプリケーションなど)間の通信を傍受して機密情報を盗むサイバー攻撃です。
MITM攻撃者は、二者間の通信の最中に忍び込んで、クレジットカード番号、アカウント情報、ログイン認証情報などの機密データをインターセプトします。ハッカーはその情報を利用して、別のサイバー犯罪(勝手な購入、金融口座乗っ取り、個人情報窃盗など)を行います。
MITM攻撃者は、ユーザーとアプリケーションとの間のやり取りだけでなく、二者間の私的な通信を傍受することもあります。このシナリオでの攻撃者は、二者間のメッセージの進路を変えさせてリレーし、時にはメッセージを変更したり置き換えたりしてカンバーセーションをコントロールします。
一部の組織やサイバーセキュリティの専門家は、「中間者」という用語の使用を避けています。これは、この用語にはバイアスがあると考える人がいるためです。また、この用語だと、中間にいるエンティティーが人ではなくチャットボット、デバイス、もしくはマルウェアであるインスタンスを検知し損ねることもあります。
このタイプのサイバー攻撃の代替用語としては、マシンインザミドル、オンパス攻撃、アドバーザリーインザミドル(AITM)、マニピュレーターインザミドルなどがあります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ネットワーク、Webブラウザー、Eメールアカウント、ユーザー振る舞い、セキュリティープロトコルにわたる脆弱性が、MITM攻撃の出発点となります。サイバー犯罪者がこうした弱点を悪用して、ユーザーと信頼できるアプリケーションとの間に侵入すると、通信をコントロールしてデータをリアルタイムでインターセプトできます。
フィッシング攻撃は、MITM攻撃者が入り込むためによく利用する手段の1つです。Eメールの悪意あるリンクをクリックしたユーザーは、知らないうちにマンインザブラウザー攻撃を開始しています。MITM攻撃者は多くの場合、この戦術を頼みに、ユーザーのWebブラウザーにマルウェアを感染させて、Webページに秘密裏に変更を加えたり、トランザクションを操作したり、ユーザーのアクティビティをスパイしたりします。
MITM攻撃でよくある出所には、他にも公衆Wi-Fiホットスポットがあります。公衆Wi-Fiルーターのセキュリティープロトコルは、家庭や職場のWi-Fiルーターのほど多くありません。そのため、ネットワークの近くにいるユーザーは接続しやすくなります。しかしハッカーにとっても、ルーターを侵害してインターネットトラフィックを傍受しユーザーデータを収集することが容易になります。
MITM攻撃者は、疑いを持たないユーザーをおびき寄せて個人データを収集するために、悪意ある独自の公衆Wi-Fiネットワークを作り出すことがあります。
MITM攻撃者は、正規のものに見えるが実際にはログイン認証情報などのクリティカルなデータを収集する偽Webサイトを作り出すこともあります。そうして得た認証情報を利用して、ハッカーは本物のWebサイトのユーザーアカウントにログインします。あるいは、偽のウェブサイトを利用してユーザーをだまし、支払いや送金をさせることもあります。
中間者攻撃だと、サイバー犯罪者は、1)2つのターゲットの間で受け渡しされるデータをインターセプトすること、2)その情報を復号化することを余儀なくされます。
ユーザーとWebアプリケーションなど、通信中の2つのターゲットの間に侵入するには、攻撃者は両者の間でやり取りされるデータを傍受する必要があります。攻撃者は、被害者が何も疑わないよう、あたかも通信が正常に行われているかのように、転送した情報をターゲット間で中継します。
今日のインターネット通信のほとんどは暗号化されているため、MITM攻撃者が傍受したデータは九分九厘、復号化しないと攻撃者には利用できません。攻撃者はデータを復号化するために、暗号化キーを盗んだり、ブルートフォース攻撃を実行したり、特殊なMITM攻撃テクニックを利用したりします(次のセクションを参照)。
MITM攻撃で、攻撃者はさまざまなテクニックを利用してデータをインターセプトし復号化します。よくあるテクニックは次のようなものです。
IPスプーフィング:Webサイト、デバイス、Eメールアドレスなどのオンラインエンティティーは、Internet Protocol(IP)アドレスで識別します。MITM攻撃者は、IPアドレスの改ざんや「スプーフィング」によって、ユーザーが本物のホストと通信しているように見せかけて実際には悪意あるソースに接続させます。
ARPスプーフィングまたはARPキャッシュポイズニング:ローカル・エリア・ネットワークでは、アドレス解決プロトコル(ARP)によって、IPアドレスと正しいメディア・アクセス・コントロール(MAC)アドレスが接続されます。この接続を攻撃者が、ARPアドレスのスプーフィングによって自分のMACアドレスにルーティングして情報を抽出するのです。
DNSスプーフィング:ドメイン・ネーム・システム(DNS)では、Webサイトのドメイン名を割り当て先IPアドレスに接続します。DNSレコードのドメイン名を変更したMITM攻撃者は、ユーザーを正規のサイトから不正なWebサイトにルーティングしてしまいます。
HTTPSスプーフィング:Hypertext Transfer Protocol Secure(HTTPS)とは、ユーザーとWebサイトとの間で行き来するデータを暗号化することで、通信のセキュリティーを確保するものです。MITM攻撃者は、標準の暗号化されていないHTTPページにユーザーを秘密裏にルーティングすると、保護されていないデータにアクセスできるようになります。
SSLハイジャック:Secure Sockets Layers(SSL)とは、SSL証明書を使用してWebブラウザーとWebサーバーとの間で認証と暗号化を行うテクノロジーです。このプロセスをMITM攻撃者は偽のSSL証明書を利用してハイジャックし、データが暗号化されないうちにインターセプトします。
SSLストリッピング:このテクニックが行われるのは、Webサイトで、トラフィックがセキュアHTTPS接続へ向けられるより前に、HTTP接続が受信されたときです。セキュアHTTPS接続へ移るというこの移行プロセスを、MITM攻撃者が邪魔して、暗号化されていないデータにアクセスするわけです。
こうしたタイプの攻撃で、サイバー犯罪者は企業や組織のEメールアカウントをコントロールします。このタイプの攻撃でMITM攻撃者がしばしば標的にするのは、銀行やクレジットカード会社などの金融機関です。
ハッカーは通信を傍受し、個人データを収集し、トランザクションに関するインテリジェンスを収集します。場合によっては、企業のEメールアドレスをスプーフィングして顧客やパートナーを信じさせ、不正口座への入金や送金をさせることもあります。
ユーザーのWebブラウザーとWebサイトとの通信で、Webブラウザーには
セッションCookieに関する情報が一時保管されます。MITM攻撃者がこうしたCookieへのアクセス権を得ると、Cookieを利用してユーザーになりすましたり、Cookieにある情報(パスワードやクレジット・カード番号などのアカウント情報を含む)を盗んだりします。
Cookieはセッションと同時に期限切れになるため、ハッカーは情報が消えてしまう前に迅速に行動しなければなりません。
MITM攻撃者は、空港、レストラン、市街地など人の多い公共の場所に公衆Wi-Fiネットワークやホットスポットを作り出すことがあります。こういった不正なネットワークの名前は、近隣の企業など信頼できる公衆Wi-Fi接続に似せていることがよくあります。ハッカーは、一般の人々が使用する正規の公衆Wi-Fiホットスポットを侵害することもあります。
いずれの場合でも、疑うことのないユーザーがログオンすると、攻撃者は機密データ(クレジットカード番号、ユーザー名、パスワードなど)を収集します。
2017年、信用調査機関Equifax社は、Webアプリケーションフレームワークの脆弱性にパッチを適用していなかったことが原因で、中間者攻撃の被害者となりました。この攻撃により、およそ1億5,000万人分の金融情報が流出しました。
それと同時に、Equifax社ではモバイル・アプリケーションのセキュリティー・ギャップがわかり、さらなるMITM攻撃に対して顧客が脆弱になっていました。Equifax社は当アプリをApple App StoreとGoogle Playから削除しました。
2011年、ハッカーは偽のウェブサイトを使ってパスワードを収集し、オランダのデジタル・セキュリティー機関DigiNotarに対する中間者攻撃を成功させました。
この侵害は重大なものでした。 侵害されたセキュリティー証明書をDigiNotar社が主要Webサイト(Google、Yahoo!、Microsoftなど)へ発行した数が500件を超えていたためです。DigiNotar社は最終的に、セキュリティー証明書プロバイダーとしての地位を剥奪され、破産宣告を受けました。
2024年、セキュリティー研究者は、ハッカーがMITM攻撃を開始するとTesla社製車両のロックを解除し盗むことができる、という脆弱性を報告しました。1
Tesla社製充電ステーションのWi-Fiホットスポットをスプーフィングした攻撃者には、Teslaオーナーのアカウント認証情報を収集することもできたのです。同研究者によると、攻撃者は車両オーナーが知らない間に車両のロックを解除して始動させる新しい「Phone Key」を追加することもできた、とのことです。
組織や個人が中間者攻撃から身を守るために実施できるサイバーセキュリティー策があります。専門家は、次に示すストラテジーに注力するよう推奨しています。
HTTPS:ユーザーは、ブラウザーのアドレスバーに「HTTPS」と南京錠アイコンが示されるセキュア接続のウェブサイトを訪問すればよいです。セキュアでないHTTP接続だけのWebページは避けてください。さらに、アプリケーションのプロトコルであるSSLとトランスポート層セキュリティー(TLS)で、悪意あるWebトラフィックから守られ、スプーフィング攻撃をかわすことができます。
エンドポイント・セキュリティー:ノートPC、スマートフォン、ワークステーション、サーバーなどのエンドポイントが、MITM攻撃者の第一標的です。こうしたデバイスに攻撃者がマルウェアをインストールするのを防ぐため、最新のパッチやウイルス対策ソフトウェアを含め、エンドポイント・セキュリティーはクリティカルです。
仮想プライベート・ネットワーク:ネットワーク・トラフィックを暗号化するVPNは、MITM攻撃に対する強力な防御となります。侵害が発生しても、ハッカーは機密データ(ログイン認証情報、クレジットカード番号、アカウント情報など)を読み取ることはできなくなります。
多要素認証(MFA):アカウント、デバイス、ネットワーク・サービスにアクセスするため、MFAでは、パスワードを入力するだけでなく、さらなるステップを要します。MITM攻撃者がログイン認証情報を手に入れたとしても、多要素認証なら、攻撃者がアカウントを乗っ取るのを阻止できます。
暗号化:暗号化は、ネットワーク・セキュリティーとMITM攻撃からの防御のための基本的な要件です。Eメールの内容、DNSレコード、メッセージング・アプリケーション、アクセス・ポイントなど、すべてのネットワーク・トラフィックとリソースを強力にエンドツーエンドで暗号化することで、多くのMITM攻撃を阻止できます。
公共Wi-Fiネットワーク:ユーザーは、購入時など機密データを含む取引を行う際には、公衆Wi-Fiネットワークを避ける必要があります。