MITMとは - 中間者攻撃

MITM ステップ1: 通信に秘密の受信者を仕込む

攻撃者がよく使う方法は以下の通りです:

• ‍Rogue Wi‑Fi Access Point 

攻撃者は正当なWi‑Fiネットワークの近くにあるよう装った無線アクセスポイントを設置し、端末が本物に接続する代わりにそのアクセスポイントに入るよう仕向けます。元のネットワークに十分近い場所であれば、攻撃は容易に成立します。

• ‍Rogue DHCP host

この攻撃にはネットワークへの物理的アクセスが必要です。攻撃者は偽のDHCPサーバーを起動し、クライアントが接続するのを待つか、DHCP RELEASEパケットを送って再接続を促します。さらに、本物のDHCPホストに対してDoS攻撃を仕掛ける場合もあります。

• ‍ARP Spoofing

ARP（Address Resolution Protocol）は、ローカルエリアネットワーク内でIPアドレスと物理MACアドレスを結びつけるために使われます。通常、ARPキャッシュに問い合わせてIPに対応するMACアドレスを得ますが、未知の場合はネットワーク全体にMACアドレスを要求します。悪意ある攻撃者はこれらの要求に自分のMACアドレスで応答し、通信を乗っ取り、送られたデータを取得した上で本来の宛先へ転送することが可能です。

• ‍DNS Spoofing 

LAN内でARPがIPとMACの対応を行うのと同様に、DNSはドメイン名とIPアドレスを解決します。DNSスプーフィング攻撃では、攻撃者がホストに誤ったDNSキャッシュ情報を注入し、信頼しているサイトへアクセスするはずの通信を悪意あるホストへ誘導します。

• ‍mDNS Spoofing

mDNSはDNSと同様の役割を果たしますが、LAN内でブロードキャストを使って名前解決を行います。プリンタやテレビなどのスマートデバイスがこのプロトコルを利用し、ネットワーク設定をシンプルにしています。攻撃者は、特定デバイスのアドレスを問われた際に偽の情報で応答し、制御下にあるアドレスへ誘導することが可能です。デバイスはローカルキャッシュにアドレスを記録するため、一定期間、攻撃者の機器が信頼される状態が続きます。

‍

MITM ステップ2: データの改ざん

通信の中継に成功すれば、攻撃者は送られるデータをすべて確認・操作することができます。主な手段は以下の通りです:

• ‍Sniffing

攻撃者はパケットキャプチャーツールを用い、低レベルのパケットを詳しく解析します。監視モードやプロミスキャスモードにできる特殊な無線機器を使えば、他のホスト宛のパケットも確認でき、セッショントークンや取引情報など、重要なデータを入手することが可能です。

• ‍Packet Injection

攻撃者は監視モードを利用し、悪意あるパケットを通信に混ぜ込むことができます。これにより、本物の通信に見せかけながら、悪質なデータを注入します。通常、パケット注入にはまずスニッフィングで適切なタイミングを探る必要があります。

• ‍Session Hijacking

多くのウェブアプリは、一時的なセッショントークンを生成し、ログイン状態を維持しています。攻撃者がこれをスニッフィングで奪取すると、被害者になりすましてリクエストを送ることが可能となります。

場合によっては、正確な攻撃のために、セッショントークンとともに端末固有の指紋情報（ソフトウェアやハードウェアの特徴、国やタイムゾーンなど）も取得する必要があります。

• ‍SSL Stripping

HTTPSはARPやDNSスプーフィングに対する主要な防御策です。攻撃者はSSLストリッピングを用いて、HTTPSのリクエストをHTTPに変換し、暗号化されない通信へと誘導します。これにより、平文で情報が流れることになります。

MITM以外にセッションハイジャックが起こる方法

中間者攻撃以外にも、サイバー犯罪者は別の手法でセッションハイジャックの手口を利用することがあります。例えば:

• ‍Evil Twin―攻撃者が本物と瓜二つの偽Wi‑Fiネットワークを作り、被害者を接続させることでネットワーク上のデータを傍受・悪用します。
• ‍Sniffing, ―攻撃者が通信チャンネルに侵入し、送受信される情報を盗み見ます。
• ‍Side‑jacking,―スニッフィングによりセッションクッキーを複製し、暗号化されていればログイン情報などを入手します。

‍

MITMの具体例

攻撃の基本的な考え方は同じながら、MITM攻撃は多様な方法で行われます。例えば:

1. ネットワーク内の安全でない端点にパケットスニッファーを仕込み、ユーザーがウェブサイトにログインしようとすると、偽サイトへ誘導される。その偽サイトはユーザーの重要な情報を集め、攻撃者が本物のサイトでデータや金銭詐欺に利用する。
2. 攻撃者がまず被害者と接触し、銀行などの権威を装って重要情報を入手。その後、権威あるサイトに被害者になりすましてアクセスし、ローンの申請や取引を開始する。

‍

実際の事件例 

上記のシナリオは単なる理論ではありません。サイバーセキュリティの歴史には数多くのMITM攻撃の事例が記録されています。一部を紹介します:

DigiNotarの流出事件（2011）はMITMによって引き起こされ、組織は破綻に追い込まれました。攻撃者はGoogle、Yahoo、Mozilla、Skypeなど主要サービスの証明書を約500件入手し、本物のサイトを偽装。その証明書を用いて、イランのGmailユーザーを騙し深刻な混乱を招きました。

2015年以前、LenovoのシステムにはSuperfishという視覚検索エンジンが標準装備されていました。このソフトはSSL通信を監視し、偽の証明書をインストールする広告ソフトでした。MITM攻撃者はこの広告ソフトを通じて通信を盗聴し、暗号化されたページでも自由に広告を表示しました。この問題によりLenovoは840万ドルの訴訟損害を受けました。

EquifaxのMITMによる情報流出事件（2017）では、同社のAndroidおよびiPhone向けアプリが各アプリストアから撤去されました。原因はHTTPS接続が一貫して使用されず、攻撃者が通信を傍受できたため、米国、英国、カナダの1億6000万人以上の個人情報が漏れたことにあります。

‍

MITM攻撃の検出方法

MITM攻撃を検出するのは、適切な対策を取らなければ困難です。通信の傍受を積極的に監視しないと、攻撃が進行中であることに気づかないまま深刻な結果を招く恐れがあります。ページ認証のチェックや改ざん検知の手法を実施することは重要ですが、追加の解析が必要になる場合も少なくありません。

攻撃発生中に検出するより、事前にMITM攻撃を防ぐ措置を講じることが重要です。自身のネット閲覧習慣を見直し、潜在的な危険箇所を把握することが、安全なネットワーク環境の維持につながります。

ここでは、通信する情報を守るための有効な対策を紹介します。

MITM攻撃を防ぐためのベストプラクティス

アクセスポイントのWEP/WAP暗号化を強化する

強固な暗号化が施された無線アクセスポイントは、近くにいるだけで攻撃者がネットワークに侵入するのを防ぎます。暗号化が弱いと、攻撃者がブルートフォースで侵入し、MITM攻撃を仕掛ける危険が高まります。暗号化がしっかりしていれば、守りも強固になります。

ルーターのログイン情報を強化する 

ルーターのログイン情報（Wi‑Fiのパスワードだけでなく、ルーター自体のログイン情報）を定期的に更新することが大切です。初期の設定のままでは攻撃者に狙われやすくなります。ログイン情報が漏れると、攻撃者はDNSサーバーを自分の悪質なものに変更したり、ルーターにマルウェアを感染させる可能性があります。

ローカルネットワークへのアクセスを制限する

不審なデバイスがネットワークに接続するのを防ぐことで、悪意ある侵入者への対策とすることができます。

MITM攻撃を防ぐ

1. VPNを利用する

VPNはローカルネットワーク内の機密データを守るために、安全な環境を構築するのに役立ちます。鍵ベースの暗号化を用いて安全なサブネットを作るため、共有ネットワークに侵入された場合でも通信内容を解読されにくくなります。

2. HTTPSを強制する

通信時は必ずHTTPSを使用することが重要です。これにより、攻撃者が盗んだデータの利用が困難となります。ウェブサイトはHTTPではなくHTTPSのみを提供し、HSTSの導入も必須です。

3. 公開鍵ペア認証を利用する

RSAなどの公開鍵ペア認証は、通信相手が正しいか確認するために、各層で利用することができます。