MailData

中間者攻撃とは?

中間者攻撃とは?

2023年10月19日
著者: Ahona Rudra
翻訳: 島田 麻里子

この記事はPowerDMARCのブログ記事 What is a MITM Attack? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。


盗聴やなりすましは、今日のデジタル環境ではあまりにも一般的であり、頻発しています。
脅威となる人間は、サイバー犯罪のために機密情報にアクセスし盗み出すMITM攻撃=中間者攻撃(MITM…Man-In-The-Middle attack)の技術を展開しています。
通常のターゲットは、金融プラットフォーム、SaaS企業、eコマース・プラットフォーム、およびログを必要とし、金融情報を含むその他のWebサイトのユーザです。

このブログでは、中間者攻撃とは何か、そしてそれを防ぐ方法について詳しく説明します。

中間者攻撃とは何か

中間者攻撃とは、サイバー犯罪者が送信側と受信側のサーバ間の通信やデータ転送を妨害する盗聴攻撃です。
彼らは一連の通信間の第三者として活動しており、「Man In The Middle」という名前はこのサイバー活動に関連しています。
こうすることで、脅威者は双方にとって正当な当事者として振る舞うことができるのです。

中間者攻撃は、データを傍受、盗聴、改竄し、通信を妨害して、どちらかの当事者に悪意のあるリンクを送信しようとするものです。

中間者攻撃のフェーズ

標準的な中間者攻撃には、傍受と解読という2つの段階があります。
それぞれについて詳しく説明します。

傍受

中間者攻撃の傍受フェーズでは、脅威者は脆弱なシステムにアクセスし、ソフトウェアやツールのような悪意のあるリソースの助けを借りて、当事者間でやり取りされる通信やデータを妨害しようと試みます。
被害者(Webサイト所有者)とユーザ(顧客、見込み客など)の間でプロキシとして振る舞い、データや認証情報を盗んだり、マルウェアを仕込んだりするのです。

IPなりすまし

IPなりすましでは、脅威者は偽装用の偽IPアドレスを使用して悪意のあるIPパケットを送信します。
これは一般的に、DDoS攻撃を試みたり、攻撃者の本当の身元を隠したりするために使用されます。
IPなりすましは、偽のメールが本物の送信元から来たように見えるため、フィッシングのインパクトを高め、対策を困難にします。

IPアドレスを詐称することで、当局に正体を見破られなくなり、追跡されなくすることができるのです。
また、被害者の端末が攻撃に関する通知を受け取らないようにすることで、被害者をスムーズに攻撃できるようにします。

DNSなりすまし
DNSなりすましは、ハッカーが特定の Webサイトに対するWebブラウザのリクエストを乗っ取り、ユーザを別のWebサイトにリダイレクトさせるサイバー犯罪の手法です。
一般的に、別のWebサイトは偽物であるか、元のWebサイトを模倣しており、ユーザの機密情報を盗むことができます。
DNSなりすましは、DNSサーバのIPアドレスを書き換えてフィッシング攻撃を仕掛けたり、マルウェアを仕込んだりもします。
ARPなりすまし

ARPなりすましでは、脅威者が不正なARP(Address Resolution Protocol Messages)を送信し、他のデバイスを欺いて、自分たちが接続し、他の誰かと通信しているように見せかけます。
このようにして、ハッカーは悪意のある利用目的でデータを盗み、傍受します。

ARPなりすましを試みるため、ハッカーはARPリクエストにアクセスするのを待つか、「gratuitous ARP」と呼ばれる不正なメッセージを配信します。
前者の方法は破壊力が弱く、その範囲も狭いですが、後者はインパクトが強く、また複雑です。

メール・ハイジャック

メールによる中間者攻撃は、一般的に銀行やその他の金融機関を標的として、すべての取引を監視するために顧客の詳細を盗み出します。
ハッカーはまた、受信者が機密情報を共有するように要求する、合法的な送信元から来たように見せかけた偽のメールを送信します。
そのため、SPFやDMARCなどのメール認証プロトコルを使用して、メールのハイジャック攻撃を防ぐことが重要です。

SPFは、許可されたIPアドレスのみがあなたのドメインを使ってメールを送信できるようにします。
一方、DMARCは、SPFとDKIM(別のメール認証プロトコル)のチェックに失敗したメールの取り扱い方法を定めるものです。

解読

中間者攻撃とは何かを理解する上で、次に知っておかなければならないのが解読のフェーズです。

暗号化した後、ハッカーは中間者攻撃で不正に入手したデータを解読し、ブラックマーケットで販売したり、悪意のある活動に利用したりします。
盗まれたデータは、オンライン取引、偽造、偽装などに使用されます。
一般的な解読方法は以下の2つです。

HTTPSなりすまし
HTTSなりすましでは、ハッカーがWebブラウザを欺き、不正なWebサイトを正規のものと見なさせます。
彼らは基本的に、HTTPSベースのアドレス・リクエストを改竄し、HTTPS相当のエンドポイントにリダイレクトさせるのです。
SSLハイジャック
SSLとは、Secure Socket Layer(セキュア・ソケット・レイヤー)の略で、2つのIPアドレス間でやり取りされる機密データを保護するためのインターネットベースの技術です。
URLがHTTPで始まる安全でないWebサイトにアクセスすると、SSLで保護されたブラウザは自動的にHTTPS URLの安全なバージョンにリダイレクトします。
SSLハイジャックでは、中間攻撃者が被害者のコンピュータやサーバを操作し、変更されたルートを傍受して機密データを盗み出します。

中間者攻撃の兆候

ハッカーは、ブラックマーケットから購入した容易に入手できるツールを使用するため、より巧妙になってきています。
これによって、ハッカーにとって暗号化と解読はより迅速かつ容易にできるようになっているのです。
しかし、中間者攻撃から身を守ることは、自分自身とチーム・メンバーにその兆候を読むことを教育すれば、それほど難しいことではありません。

それでは、その兆候を見てみましょう。

頻繁な接続切断

ハッカーは、ユーザを強制的に接続解除し、再接続時にユーザ名とパスワードを傍受します。
特定のWebサイトからログアウトされたり、何度も切断されたりする場合は、赤信号だと思ってください。

アドレスバーに変なURLやスペルミスが表示される

URLが奇妙に見えたり、スペルが変更されている場合は確認しましょう。
例えば、O(オー)を0(ゼロ)に置き換えている、などです。
そう、 www.amazon.com の代わりに www.amaz0n.com を訪れていることに、あなたは気づかないかもしれないのです。

安全でないURL

URLの先頭がHTTPSではなくHTTPで始まるWebサイトにはアクセスしないようにしましょう。
これらはセキュアで暗号化されていないため、サイバー犯罪者は二者間でやり取りされるデータを傍受することができます。

中間者攻撃を防ぐには

中間者攻撃を阻止する方法をお考えですか?
とにかく用心して、以下に紹介するインターネット衛生に関する良い方法を実践してください。

安全でない公共のWi-Fiネットワークを避ける

公共のWi-Fiネットワークは安全ではありません。
ですから、旅行中やオンライン取引中は接続しないようにしましょう。
ワイヤレスキャリアの暗号化された接続を使うか、WPA2セキュリティ付きのルーターを使うことができます。

VPNを利用する

VPN(仮想プライベート・ネットワーク)を追加すると、エンドポイントとVPNサーバ間のトラフィックが暗号化されます。
これにより、脅威者は中間者攻撃を成功させることが難しくなります。

重要なWebサイトからは常にログアウトする

ブラウザにパスワードを保存せず、機密性の高いWebサイトでは、アクティビティが終了したら必ずログアウトしましょう。
このことは、銀行や決済ゲートウェイなど、金融関連のWebサイトでは特に重要です。

ユニークで強力なパスワードを設定する

重要なプラットフォームにはすべて固有のパスワードを使用し、3~4カ月ごとに変更しましょう。強力なパスワードは、大文字、小文字、数字、特殊記号で最低12文字必要です。
あまりにも露骨に推測できるものではないことを確認しましょう。
例えば、ペットの名前や出生地などは避けましょう。

多要素認証を使用する

多要素認証とは、アカウントやデバイスにアクセスするために(パスワードとは別に)複数の方法を要求されるセキュリティ手法です。
これらの二次的な方法には、指紋認証、顔検出、OTP(ワンタイムパスワード)などがあります。

MTA-STSでメールの中間者攻撃を阻止する

最後に、中間者攻撃からメール通信を保護する最も効果的な方法は、MTA-STS(Mail Transfer Agent- Strict Transport Security)です。
このメール認証技術により、SMTPでトランスポート層の暗号化を必須にすることで、転送中のメールを保護することができます。

中間者攻撃とは何かを知ることは、特にテクノロジーを駆使する企業にとって重要なことです。
中間者攻撃は今日のデジタル環境では一般的であり、ハッカーは痕跡を残さずに成果を上げるために、ますます巧妙になっています。
このため、ドメイン所有者は十分な対策を講じ、転送時の暗号化を徹底して、攻撃者によるメール通信の傍受を防ぐことが重要です。

PowerDMARCでは、Hosted MTA-STSの機能を利用することができます。
まずはPowerDMARCの無料トライアルをお試しください。

お問い合わせフォーム

本サービスのご相談やお見積り、事例についてなど、お気軽にお問い合わせ下さい。

➡ PowerDMARCに関するお問い合わせ