中間者攻撃、一般的にMan-in-the-Middle (MitM) 攻撃として知られるこのサイバー脅威は、検出が難しいことで有名です。しかし、偽のウェブサイトへの誘導や不安定なインターネット接続など、細かな特徴に気付くことが可能です。特に公共のオープンネットワークでの使用時には、暗号化されていない通信により、これらの攻撃が頻繁に発生することがあります。
この記事では、中間者攻撃の基本的な概念、中間者攻撃の仕組み、この攻撃の特徴、そして自己防衛のための対策手段を、詳細にわたって解説します。
それでは早速、見ていきましょう。
中間者攻撃とは?
中間者攻撃(Man-in-the-Middle, MitM攻撃)とは、攻撃者が通信する二者間に不正に介入し、情報を盗聴または改ざんするサイバー攻撃の一種です。この攻撃では、攻撃者は送信者と受信者のどちらにも気付かれずに通信を中継し、その過程で機密情報を収集したり、通信内容を改ざんしたりします。
例えば、あなたがオンラインバンキングにログインしようとするとき、攻撃者はあなたと銀行サーバーの間に介入します。あなたは攻撃者にログイン情報を送信し、攻撃者はそれを銀行に転送します。このようにして、攻撃者はログイン情報を盗み取り、あなたのアカウントを不正に利用することが可能になります。
公共のWi-Fiなどのセキュリティが低いネットワーク環境などを狙って、この攻撃が頻繁に発生します。 モバイルデバイスやコンピュータを使用しているユーザーには、MITM 攻撃が行われている最中でも、すべてが完全に正常に見える可能性があります。
中間者攻撃の仕組み
中間者攻撃(Man-in-the-Middle, MitM)の仕組みは、攻撃者が二者間の通信を秘密裏に傍受し、時には改ざんするというものです。この攻撃では、攻撃者は送信者と受信者の間に自身を挟み込み、両者が直接通信していると思わせることがポイントです。最も頻繁に発生する中間者攻撃(MitM)攻撃の 1 つは、「邪悪な双子」攻撃と呼ばれ、ホテル、レストラン、空港、店舗、その他の公共の場で見られるような無料の公共 WiFi ネットワークを利用する人々をターゲットにしています。これらのネットワークは暗号化されていないことが多く、パスワードがまったく必要ないか、あるいは脆弱なパスワードで設定されてることが多いです。
この中間者攻撃では、脅威アクターは本物と酷似した名前を持つ偽の「擬似」WiFi アクセスポイントを設定します。例えば、本物のネットワークが 「Tokyo_Airport」 と呼ばれる場合、偽のネットワークは 「T0kyo_Airport」 と呼ばれる可能性があります。
- 本物のネットワークが 「Tokyo_Airport」
- 偽のネットワークは 「T0kyo_Airport」
ここでは英語のアルファベット「O」の代わりに、数字の「0」を使用しています。
サイバー犯罪者はこのネットワークを制御しているため、このネットワークに接続するすべての人を盗聴することができ、その人が訪問するサイトだけでなく、アカウントにログインするために使用するログイン認証情報など、ウェブやアプリのすべてのアクティビティを見ることができます。場合によっては、脅威アクターは送信されるデータを改ざんしたり、ログイン情報を収集したりマルウェアを配信したりする悪意のあるサイトURLにユーザーをリダイレクトしたりする可能性があります。
その他の中間者攻撃の種類
偽の WiFi ホットスポット以外の、一般的な中間者攻撃についても見てみましょう。
HTTPS なりすまし
ハイパーテキスト転送プロトコルセキュア (HTTPS) は、ブラウザとウェブサイト間で送信されるすべてのデータが暗号化されることを保証します。しかし、ウェブサイトが HTTPS を有効にしているからといって、サイト自体が正規のものとは限りません。
HTTPS なりすましとは、サイバー犯罪者が人気のある正規ドメインに酷似したドメインを登録する中間者攻撃の手法です。例えば、その犯罪者は 「www.example.com」の代わりに 「www.examp1e.com」 を登録し、悪意のあるウェブサイトを構築して HTTPS で保護します。不注意にも偽サイトにアクセスしてしまったユーザーは、ブラウザに HTTPS を使用していることを示す緑色のロックが表示されるため、URL が 1 文字ずれていることに気づかない可能性があります。
IP なりすまし
インターネットプロトコル (IP) アドレスは、デバイスやローカルネットワークの一意の識別子です。IP なりすましは、サイバー犯罪者の身元を隠したり、正規のアドレスになりすましたり、またはその両方を行うために、偽の IP アドレスを作成します。IP なりすましは多くの場合、ユーザーを騙して正規の送信元と通信していると思わせるため、ユーザーはなりすました IP アドレスと機密情報を安心して共有してしまいます。さらに、DDoS 攻撃では IP なりすましが使用されるため、攻撃を受けているシステムはトラフィックが実際にどこから来ているのかわからなくなり、攻撃の阻止が困難になります。
DNS なりすまし
ドメインネームシステム (DNS) は、ユーザーのデバイスとウェブサイトを接続するための数値 IP アドレスのオンラインディレクトリです。DNS なりすましは、ファーミングでよく使用され、DNS レコードを改ざんすることで、ログイン認証情報を盗んだり、訪問者のマシンにマルウェアを自動的にダウンロードしたり、またはその両方を行ったりする詐欺的なウェブサイトにユーザーを誘導します。
SSL 操作
セキュアソケットレイヤー (SSL) は、ウェブサイトとユーザーの間で暗号化された接続を提供するセキュリティプロトコルです。SSL操作は、SSL ハイジャックとも呼ばれ、脅威アクターが HTTPS サイトのドメインに偽造 SSL証明書を生成する、中間者攻撃の一種です。ユーザーがそのサイトにアクセスしようとすると、本物そっくりに作られた悪意のあるサイトにリダイレクトされます。
セッションハイジャック
セッションハイジャックとは、クッキーハイジャックとも呼ばれ、サイバー犯罪者がブラウザのクッキーを盗むことでインターネットセッションを乗っ取る際に発生する、MITM 攻撃の一種です。クッキーは、ウェブサイトが訪問者を追跡するために使用する情報の一部であり、銀行、ショッピング、ゲーム、購読ウェブサイトなどのセキュリティで保護されたウェブサイトへのユーザーのログインセッションの認証を含みます。サイバー犯罪者がセッションクッキーを盗むと、それを使って元のユーザーになりすまし、そのアカウントにログインすることができます。
中間者攻撃を発見するための特徴
中間者攻撃は、あなたの知らない間にバックグラウンドで起こるように設計されているため、検出して発見することが非常に困難な場合があります。しかし、注意すべきいくつかの特徴があります。以下の特徴に関して、少しでもおかしいと感じたらすぐに処置しましょう。
SSL 証明書エラー
ウェブサイトにアクセスしようとしたときに、ブラウザに無効または期限切れの SSL 証明書に関するエラーメッセージが表示される場合は、SSL 不正操作の可能性があります。SSL 証明書が捏造され、正規のウェブサイトのように見せかけた悪意のあるウェブサイトにリダイレクトされている可能性があります。偽のウェブサイトはログイン認証情報とMFAを要求し、サイバー犯罪者はそれを使って正規のウェブサイトにログインします。
不安定なインターネット接続
原因が不明な遅延や接続の頻繁な途切れは、多くの場合、ネットワーク設定のミスやインターネットサービスプロバイダの問題など、さまざまな要因によるものです。ただし、これらの一般的な理由が全て排除された後でも問題が解決しない場合、これらの症状は中間者攻撃の兆候として考えることもできます。
偽のウェブサイト
サイバー犯罪者たちは、中間者攻撃で用いる偽ウェブサイトを本物に見せかけるために細かな工夫を凝らしていますが、しばしばフォント、色彩、ロゴデザインに細かな差異が生じます。違和感を感じたら、ウェブサイトのURLが正確かどうかを慎重にチェックすることが肝要です。たとえば、URLが https:// でなく http:// で始まっている、または google.com のような正しいドメイン名がわずかに変更されている(例:go0gle.com)ことがあります。
また検索エンジンまでも偽物で似せていることもあります。
さらに、突発的なポップアップ広告や不審な要求など、ウェブサイト上の他の不整合も警戒するべきです。
中間者攻撃から身を守る対策方法
中間者攻撃を検出するのは非常に困難であるため、最良の保護対策は、まず中間者攻撃の発生を防ぐことです。中間者攻撃から身を守る最善の対策を以下から実行してくのが良いでしょう。
公共 WiFi を避ける
中間者攻撃は、公共 WiFi ホットスポットのユーザーを標的にすることが多いため、中間者攻撃を避ける最善の方法は、安全が確保されていない公共WiFi を使用しないことです。旅行中や外出中にインターネット接続が必要な場合は、携帯電話のデータ接続にテザリングするか、または VPN を使用してください。さらに、ノートパソコンやモバイルデバイスが公共WiFi に自動的に接続しないように設定されていることを確認してください。
VPN を使用する
仮想プライベートネットワーク (VPN) は、IP アドレスを隠してデータを暗号化することで、オンライン活動を保護するサービスです。公共 WiFi を使用する必要がある場合は、VPN を使用して安全な接続を作成し、送信データを暗号化します。VPN はサイバー犯罪者による盗聴を防ぎ、公共 WiFi ホットスポットを安全に使用できるようにします。
パスワードマネージャーを使用する
パスワードマネージャーは、ログイン情報や重要なデータを暗号化された安全なボルト内に保管するツールです。数あるパスワードマネージャーを選定する上で重要なのは、パスワードマネージャーがゼロ知識暗号化技術を採用していることを確かめることで、これはあなた自身以外の誰もあなたのボルトの内容にアクセスできないことを保証します。
中間者攻撃への対策として、パスワードマネージャーは特に有効です。それは、パスワードマネージャーが偽のウェブサイトに自動的に認証情報を入力しないからです。たとえば、example.com と examp1e.com は見た目が似ていますが、特にスマートフォンなどのモバイルデバイスでは区別が難しい場合があります。しかし、パスワードマネージャーはこれらの違いを識別し、不安全なウェブサイト上で手動でログイン情報を入力しようとした際には警告を発することで、ユーザーを守ります。なので、パスワードマネージャーのアプリを入れることが対策として有効になります。
MFA を有効にする
多要素認証 (MFA) は、オンラインアカウントへのアクセスを許可する前に、追加の認証情報の提供を要求することで、セキュリティレイヤーを追加します。例えば、ユーザー名とパスワードに加えて、ワンタイムコードを提供するか、セキュリティキーを入れる必要があります。MFA を有効にすると、ログイン認証情報が中間者攻撃で侵害されたとしても、追加の認証要素を解除することができなければ、サイバー犯罪者にとって役に立ちません。
サイバーセキュリティに関する知識を深める
サイバー犯罪者たちは絶えず新しい手法を編み出し、個人データを盗み出す方法を進化させています。これに対抗するためには、サイバー脅威に関する知識を常に更新し続けることが不可欠です。さらに、強固なパスワードの使用や、本当に必要なときのみ機密情報を共有するなどのサイバーセキュリティの良いベストプラクティスを維持することも重要です。これにより、将来の脅威を避けるための対策を強化できます。
まとめ:中間者攻撃に対する対策を日頃から行いましょう
中間者攻撃は、特に旅行中などの知らないうちに起こる可能性があるため、深刻なセキュリティの脅威となります。このような攻撃は、公共のWiFi ネットワークや不審なウェブサイトで頻繁に発生します。中間者攻撃に対処する最善の方法は、普段から意識して身を守る対策をすることです。
Keeperのパスワードマネージャーで対策を行うのも1つです。例えば、中間者攻撃による、HTTPSのなりすましなどに文字が違った場合、パスワードの自動入力をする際、パスワードマネージャーが検知してくれて入力を防いでくれます。
現在、Keeper パスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。