中間者攻撃(MiTM)とは

中間者(MiTM)攻撃の仕組み

中間者(MiTM)攻撃は、互いに直接通信していると信じる2者間のデータを密かに傍受して操作することで通信の完全性を侵害します。攻撃者は脆弱性やソーシャル エンジニアリングを通じて被害者と目的のサーバーまたはサービスの間に入り込み、盗聴したり、機密情報を盗んだり、送信されるデータを改ざんしたりします。通常、悪意のあるリンクをクリックするとMiTM攻撃が実行されるフィッシングや、攻撃者がトラフィックを盗聴しやすい公共Wi-Fiなどが攻撃の起点となります。MiTM攻撃の一般的な手順と攻撃者がこの種の侵害をどのように実行するかを以下にまとめます。

MiTM攻撃の手順

• 攻撃開始(中間に入る): MiTM攻撃の第1段階として、攻撃者は2者間の通信チャネルへのアクセスを得ます。
• 通信の傍受：中間に入ると、攻撃者は2者間のデータ フローを傍受し始めます。これは、接続が侵害されたことに当事者が気づかないうちに行われます。
• 盗聴とデータ収集：ここで攻撃者は傍受した通信から貴重な情報を収集します。高度な攻撃者の場合は、通信に悪意のあるペイロードを挿入することもあります。
• 攻撃後の動き：攻撃者が目的のデータを収集したり、悪意のあるペイロードを実行したりすると、検出されずに盗聴を続けるか、接続を終了させます。

攻撃者はデータを再暗号化したり、元の通信経路を復元したりして痕跡を隠すケースもあるため、その場合は事後的に侵害を検出するのが非常に難しくなります。

MiTM攻撃の手法

攻撃者はネットワーク セキュリティとユーザーの信頼のギャップを悪用するため、さまざまな種類の中間者攻撃を理解して、サイバーセキュリティ環境を強化することが重要です。ここでは、最も一般的なMiTM攻撃の形態とそれらが機密データを侵害する仕組みについて概説します。こうしたリスクを軽減するには、堅牢なアイデンティティー検証と継続的な監視の実装が不可欠です。

Wi-Fi盗聴

Wi-Fi盗聴は、攻撃者が正規のネットワークを装った不正なアクセス ポイントをカフェ、空港、ホテルなどの公共の場所に設置することで発生します。疑いを持たないユーザーは、これらのアクセス ポイントが安全であると信じて接続します。適切なセキュリティ対策が講じられていない場合、一度接続されると認証情報や個人情報、そして暗号化されたデータなど、ユーザーとインターネット間で送信されるすべてのデータが不正に傍受されます。

IPスプーフィング

IPスプーフィングとは、攻撃者がパケットの送信元IPアドレスを操作して、信頼できるデバイスやシステムからのパケットであるかのように見せかける手法です。攻撃者はこれを用いて2者間のネットワーク トラフィックを傍受し、改ざんします。これは、いずれかの当事者が問題に気づかないうちに行われる場合がほとんどです。この戦術は、アクセス制御のためにIPアドレスに暗黙の信頼が置かれている環境では特に危険です。

DNSスプーフィング

DNSスプーフィング、またはDNSポイズニングも一般的なMiTM戦術の一つで、攻撃者がサーバーやユーザーのデバイスのDNSキャッシュを破壊します。正規のWebサイトにアクセスしようとするユーザーは悪意のあるWebサイトにリダイレクトされ、そこで認証情報の窃取やマルウェアのインストール、フィッシング攻撃などが発生します。たとえば、ユーザーがよく使用するURLをブラウザーに入力しても、目的のサイトではなく、不正なサイトに誘導される場合があります。

HTTPSスプーフィング

HTTPSスプーフィングでは、安全なWebサイトの検証方法の弱点が悪用されます。攻撃者は、偽の証明書を使用して正規のHTTPS Webサイトになりすましたり、ユーザーをだまして不正な証明書を受け入れさせたりすることで、安全なサイトと思い込ませ、ログイン認証情報や銀行情報などの個人の機密データを傍受します。

SSLストリッピング

SSLストリッピングは、安全なHTTPS接続を暗号化されていないHTTP接続にダウングレードする手法です。ユーザーが安全なWebサイトに接続しようとすると、攻撃者はそのリクエストを傍受してSSL暗号化を解除し、接続を盗聴しやすい状態にします。ユーザーは、ブラウザーに「安全」を示す南京錠アイコンがないことに気づかない可能性があり、その場合、攻撃者はログイン認証情報、クレジット カード番号、個人データなどの機密情報を盗むことができます。

こうしたさまざまなMiTM攻撃を理解すれば、適切な防御策を講じられるようになります。ゼロトラスト アーキテクチャーは機密性の高いリソースへのアクセスを制限しながら、ユーザーとデバイスを継続的に認証することで、攻撃者がネットワークに侵入した場合でも、これらの脆弱性が悪用される可能性を大幅に削減します。

中間者(AiTM)フィッシング攻撃

中間者(AiTM)フィッシング攻撃はターゲットを欺くために、2者間の通信を傍受して操作する手法です。攻撃者はターゲットと信頼できるエンティティーの間に入り込むことで(MiTM攻撃と同様)、機密情報に不正にアクセスします。従来のフィッシング攻撃とは異なり、AiTM攻撃はリアルタイムで発生するため、攻撃者は通信内容を監視および変更することができます。たとえば、メッセージ内容の改ざん、悪意のあるWebサイトへのリダイレクト、データの収集を検出されることなく実行できます。AiTMフィッシングを防ぐための対策として、以下の4つが挙げられます。

• 安全な通信チャネルを使用する
• Webサイトの信頼性を検証する
• 機密情報の共有時に注意を払う
• ソフトウェアを最新状態に保つ

AiTMフィッシング攻撃に関する詳細は、Zscalerのこちらのブログでも紹介しています。

MiTM攻撃の種類

MiTM攻撃は通信チャネルの脆弱性を悪用し、攻撃者が転送中のデータを傍受、改ざん、または操作できるようにします。これらの攻撃はいくつかの手法で実行でき、それぞれ方法とリスクが異なります。ここでは、MiTM攻撃に用いられる最も一般的な手法を紹介します。

パケット スニッフィング

パケット スニッフィングは、攻撃者がネットワーク トラフィックをキャプチャーして分析する手法であり、通常は専用のツールが使われます。Wiresharkやtcpdumpなどの専用ツールを使用すると、攻撃者はネットワーク上を移動する暗号化されていないデータ パケットを監視できます。MiTM攻撃においては、パケット スニッフィングは通常、適切な暗号化が行われていない安全性の低いまたはオープンなネットワーク(公共Wi-Fiなど)でデータが送信される際に使用されます。攻撃者はユーザーとサービス間の通信を盗聴することで、ログイン認証情報、セッションCookie、個人情報などの機密データを収集します。

攻撃者はこうしたデータにアクセスし、それを悪用してユーザーになりすましたり、アイデンティティーを盗んだり、システム全体を侵害したりします。暗号化はパケット スニッフィングの影響を軽減できますが、攻撃者は依然として高度な手法を駆使して脆弱な暗号化プロトコルを復号または回避しています。

セッション ハイジャック

セッション ハイジャックは攻撃者がユーザーのセッションを不正に制御する攻撃手法で、通常は認証がすでに行われた後に発生します。セッションが確立されると(ユーザーがWebサイトにログインした後など)、サーバーとクライアントはセッション トークンを交換して接続を維持します。攻撃者は、パケット スニッフィングなどの手段でこのトークンを傍受し、それを使用してユーザーになりすまし、ユーザーのパスワードを使用せずにセッションに不正にアクセスします。

この手法は攻撃者が認証メカニズムを完全に回避できるようにし、金融サービスやエンタープライズ システムなどの機密性の高いアカウントに重大なリスクをもたらす可能性があるため、特に危険です。

SSLハイジャック

SSL (Secure Sockets Layer)ハイジャックは、攻撃者がユーザーとWebサーバー間の暗号化されたトラフィックを傍受する、より高度な手法です。SSL/TLSプロトコルは、暗号化された安全な接続を確立するように設計されていますが、攻撃者はSSLハンドシェイク プロセスの脆弱性を悪用して、通信に入り込みます。SSLハイジャック攻撃では、攻撃者が最初の接続リクエストを傍受し、攻撃者とユーザー間および攻撃者とWebサーバー間の2つの別々の接続を確立します。

攻撃者はトラフィックを復号し、データを表示または変更してから再暗号化して渡します。ユーザーとサーバーは、どちらも安全に通信していると信じているため、攻撃に気づかないままとなります。

メール ハイジャック

メール ハイジャックもMiTM攻撃の一般的な手法であり、多くの場合、機密情報にアクセスできる組織や個人を標的にします。この攻撃では、サイバー犯罪者が当事者間のメール通信を傍受したり、不正にアクセスしたりします。これは、攻撃者がユーザーをだまして認証情報を提供させるフィッシング攻撃や、メール サーバーの脆弱性を直接悪用することで行われます。

アクセス権を取得すると、攻撃者はメールの内容を盗聴したり、改ざんしたりできるようになります。ほとんどの場合、金融取引のリダイレクトや機密情報の窃取を目的としています。たとえば、ビジネス メール詐欺(BEC)では、攻撃者が役員やベンダーになりすまして従業員をだまし、不正なアカウントに資金を送金させる場合があります。

MiTM攻撃からより効果的に組織を保護するには、これらの手法を理解することが重要です。本質的に信頼できる接続やユーザーは一切存在しないという概念に基づくゼロトラスト アプローチは、すべてのやり取りをリアルタイムで認証、暗号化、監視することで、これらの攻撃のリスクを大幅に軽減します。

中間者攻撃の影響

MiTM攻撃は組織に広範な影響を及ぼし、財務、運用、評判に重大な損害を与える可能性があります。攻撃者は2者間の通信を傍受して操作することで、十分に保護されているように見えるネットワークのセキュリティさえも侵害する場合があります。ここでは、MiTM攻撃がもたらす主な影響をいくつか紹介します。

金銭的損失

MiTM攻撃の最も直接的かつ具体的な影響の一つが、金銭的損失です。攻撃者がログイン認証情報、支払いデータ、アカウントの詳細などの機密情報を傍受すると、不正な取引を開始したり、資金を盗んだり、取引の詳細をリアルタイムで変更したりします。これは銀行、eコマース プラットフォーム、決済業者など、大量の金融取引を扱う組織の重大な懸念事項となっています。

また、攻撃者は支払い経路を変更したり、正当な通信に不正な指示を挿入したりして、悪意のあるアカウントに送金するように仕向けることがあります。適切な検出と防止のメカニズムがなければ、この種の攻撃は損害が発生するまで見過ごされる確率が高いため、直接的な金銭的損失から法定刑罰や修復費用に至るまで、金銭的な影響は壊滅的なものになる可能性があります。

データ侵害

MiTM攻撃は、特に攻撃者が暗号化されていない通信や暗号化が不十分な通信を傍受できる場合には、データ侵害の一般的なベクトルになります。これらの攻撃では、顧客データ、知的財産、内部通信などの機密情報が公開または窃取され、従業員、顧客、サードパーティー ベンダー間などで信頼できる通信チャネルを利用している組織では、MiTM攻撃によって重要なデータの機密性と完全性が侵害される可能性があります。

このような侵害の影響は、情報窃取だけにとどまりません。盗まれたデータの性質によっては、GDPR、HIPAA、PCI-DSSなどのフレームワークに基づく規制コンプライアンス違反の対象にもなりえます。フォレンジック調査、弁護士費用、通知要件など、データ侵害に対応するためのコストは急速に増大し、損害がさらに悪化する場合もあります。

企業イメージの低下

MiTM攻撃は、財務および運用に直接的な影響をもたらすだけでなく、企業イメージを大きく傷つける場合があります。顧客とパートナーは組織を信頼して機密情報を託しているため、防げたはずのセキュリティ インシデントが発生し、その信頼が壊れた場合、その影響は長引くおそれがあります。MiTM攻撃を受けたニュースが急速に広まり、メディアの否定的な注目、顧客の信頼喪失、株主価値の低下などにつながる可能性があります。

さらに、MiTM攻撃による企業イメージの低下は将来の成長を妨げるものであり、顧客やパートナーは、セキュリティ態勢が脆弱な組織と関わることに消極的になるかもしれません。金融、医療、テクノロジーなど、信頼が最優先される業界では、企業イメージへの長期的な影響は直接的な金銭的損失よりも大きな損害を与える可能性があります。

MiTM攻撃を防ぐ方法

中間者攻撃は通信チャネルの脆弱性を悪用するため、外部公開を最小限に抑えるための堅牢なセキュリティ対策を実装することが不可欠です。以下では、組織がMiTM攻撃のリスクを軽減しながら、全体的なゼロトラスト セキュリティ態勢を強化するのに役立つ主な戦略について概説します。

強力な暗号化の実装

暗号化は、MiTM攻撃に対する最も基本的な防御の一つです。TLS (Transport Layer Security)などの強力なプロトコルを使用してネットワーク経由で送信されるすべての機密データを暗号化すれば、通信の傍受と解読がはるかに困難になります。暗号化は、企業ネットワーク、クラウド環境、または公開されているWebアプリケーションなどにわたる転送中のデータを保護するうえで重要な役割を果たします。暗号化標準を定期的に更新し、信頼できる証明書のみを使用することも、古い暗号化方式や侵害された証明書による脆弱性を回避するための効果的な予防策です。

多要素認証(MFA)の実装

多要素認証(MFA)はシステムやデータにアクセスする前に、ユーザーに複数の形式の検証を要求することでセキュリティのレイヤーを追加します。攻撃者がMiTM攻撃でログイン認証情報を入手できたとしても、アカウントにアクセスするにはモバイル デバイスや生体認証データなどの追加の認証要素が必要になります。MFAは不正アクセスのリスクを大幅に軽減するため、MiTM攻撃の防止を目的とするあらゆるセキュリティ戦略に不可欠な要素となっています。

異常を検出するためのトラフィックの監視

潜在的なMiTM攻撃の兆候を検出するには、ネットワーク トラフィックの予防的な監視が必要です。通常とは異なるトラフィック パターン、予期しないIPアドレス、不審な証明書などの異常は、悪意のあるアクティビティーを早期に警告する指標として機能します。AIと機械学習を活用した高度なトラフィック分析ツールを導入すれば、これらの異常をリアルタイムで特定できます。

公共Wi-Fiセキュリティ対策の実施

公共Wi-Fiネットワークは、オープンで安全性に欠けるものが多いため、MiTM攻撃に対して特に脆弱です。これらのリスクを軽減するには、公共Wi-Fiの使用に関する厳格なセキュリティ ポリシーを施行し、セキュリティ部門は送信されるすべてのデータが暗号化され、インターネット上で公開されないようにする必要があります。また、保護されていないネットワークへの公開を防ぐために、公共Wi-Fiへの自動接続を無効にし、必要に応じて従業員に安全なモバイル ホットスポットを提供することも重要です。

ゼロトラスト フレームワークの採用

ゼロトラスト フレームワークは、ネットワークの内部または外部を問わず、ユーザーやデバイス、システムがデフォルトで信頼されるべきではないことを前提としています。ゼロトラストでは、すべてのアクセス リクエストが許可される前に検証、認証、承認されるため、MiTM攻撃を効果的に防止できます。また、ユーザーのアイデンティティーと振る舞いに基づいてアクセスを制限することで、攻撃対象領域を縮小します。継続的なアイデンティティー検証、最小特権アクセス、ゼロトラスト セグメンテーションなどのゼロトラストの原則を実装すると、MiTM攻撃に対して本質的に耐性を持つ、より回復力のある環境を構築できます。

これらの戦略を組織のサイバーセキュリティ プログラムに統合することで、MiTM攻撃のリスクを大幅に軽減できます。アイデンティティー検証とアクセス制御が最優先されるゼロトラスト環境では、通信と機密データを保護しながら、攻撃者がネットワークの脆弱性を悪用する可能性を最小限に抑えることができます。

ZscalerでMiTM攻撃を防止

Zscaler Cyberthreat Protectionはアイデンティティー、コンテキスト、ポリシーに基づいて接続を保護するクラウド ネイティブのゼロトラスト アーキテクチャーを活用することで、中間者(MiTM)攻撃を阻止します。Zscalerでは、ネットワークがあらゆる角度から保護され、データの不正な傍受がすべての段階で防止されます。

• 大規模なTLS/SSLインスペクション：Zscalerのプロキシ アーキテクチャーでは、TLS/SSLで暗号化されたトラフィックを含むすべてのトラフィックが確実に検査されるため、組織はパフォーマンスを損なうことなく悪意のあるアクティビティーを検出してブロックできます。
• AIを活用した脅威対策：Zscalerの高度なAIモデルは、1日あたり5,000億件以上のトランザクションを分析することで、MiTM攻撃やその他の脅威がネットワークを侵害する前に特定して阻止します。
• デセプション テクノロジー：デコイで攻撃者をあぶり出すことで、攻撃戦術を明らかにし、攻撃が成功する可能性を減らします。Zscaler Deceptionは特定の種類のMiTM攻撃を検出し、アラートを生成します。
• ゼロトラスト アクセス制御：ユーザーやデバイスには、アイデンティティーとコンテキストに基づいて特定のアプリケーションやリソースへのアクセスが許可され、許可されていないエンティティーがトラフィックを傍受または操作できないようにします。
• ラテラル ムーブメントの排除：ユーザーとアプリ間およびアプリ間の通信をセグメント化することで、デバイスが侵害された場合でも攻撃者がネットワーク全体に拡散しないようにします。

Zscalerはこれらの機能を組み合わせることで、MiTM攻撃のリスクを大幅に軽減し、機密性の高い通信を保護します。

Zscaler Cyberthreat Protectionを体験するには、Zscalerの専門の担当者によるデモをご依頼ください。Zscalerだけが提供できる強力なクラウド型防御をご覧いただけます。