MitM攻撃を防ぐ方法は？

ここでは、中間者攻撃を簡単にイメージできる方法をご紹介します。ATMを利用しているときに、誰かがあなたの肩越しにカード情報を覗き見している場面を想像してください。あなたはその人物が背後にいることに気づいていません。彼らはあなたの情報を記憶し、その場を離れて後で別の場所からカード情報を使って現金を引き出します。また、ATMとホストの間にデバイスを設置し、あなたがカードをスワイプした際に情報を盗むことも可能です。あなたはそのことに全く気づきません。これが典型的なMitM攻撃の一例です。もう一つの例としては、見知らぬ人があなたと友人のチャットを盗み聞きし、あなたたちの機密情報を悪用するケースがあります。

MitM攻撃は物理的なものだけでなく、クラウドやサイバーセキュリティの分野でも多く発生しています。本ガイドでは、MitM攻撃を防ぐ方法と、その対策について解説します。

中間者攻撃（Man-in-the-Middle Attack）とは？

中間者（MitM）攻撃は、当事者2者間の通信を脅威アクターが傍受することで発生します。被害者はその存在に気づいていません。攻撃者は会話を盗聴し、金融情報やログイン認証情報、その他の機密データを盗み取ることが可能です。

多くの中間者（MitM）攻撃は、フィッシングやウェブスプーフィングを通じて、セキュリティが確保されていない公共WiFiネットワーク上で発生します。

なぜ中間者攻撃の防止が重要なのか？

MitM攻撃では、攻撃者があなたの存在に侵入していることに気づきません。静かに行われ、犯罪者の目的は他者との会話を盗聴してできるだけ多くの情報を盗むことです。

MitM攻撃は、個人、企業、組織、資産のいずれも標的となり得るため危険です。動機は金銭的利益にとどまらず、注意を怠ると一度のデータ侵害で数百万件の記録を失うリスクがあります。

MitM攻撃の標的となりやすい業界には、銀行業界、フィンテックやヘルスケア企業、産業用IoT分野が含まれます。製造倉庫、電力システム、重要インフラも安全ではありません。

SCOREおよびSBAのレポートによると、MitM攻撃は世界中のサイバー攻撃の43%を占めています。中小企業が最大かつ最も頻繁な標的です。

中間者（MitM）攻撃の仕組み

典型的な中間者（MitM）攻撃の流れは以下の通りです：

• 人物Aが人物Bにメッセージを送信します
• 「中間者」がAまたはBに気づかれずにメッセージを傍受します
• 攻撃者はメッセージやその内容を改ざんしたり、メッセージ自体を削除したりすることができますが、当事者はその痕跡や事実に気づきません

要するに、中間者攻撃はネットワーク、ウェブ、ブラウザベースの脆弱性を悪用して正規のトラフィックを傍受または転送します。被害者から情報を盗み、セキュリティプロトコルの弱点を突くこともあります。

MitM攻撃の兆候

MitM攻撃の被害者であることを示す兆候は以下の通りです：

ブラウザ証明書の警告

ウェブサイトにアクセスすると、ブラウザはセキュリティ証明書を確認します。問題があれば警告が表示されます。証明書の警告は、サイトの身元が期待通りでないか、証明書が期限切れであることを意味します。

正規のサイトで証明書エラーが発生することはありません。普段利用しているサイトで突然これらの警告が表示された場合、誰かが通信を傍受している可能性があります。偽の証明書を使って、あなたと本物のサーバーの間に割り込んでいるのです。証明書の不一致や無効な証明書エラーは、トラフィックが傍受されている重大なサインです。

不審なURL

攻撃者は正規のウェブサイトを模倣したURLを使用します。ドメインの綴りが微妙に異なったり、別の拡張子を使ったり、余分な文字が含まれている場合があります。your-bank.comの代わりにyourbank.com、Amaz0n.comのように「o」の代わりに「0」を使うなどです。これらの小さな違いは、注意していないと見逃しやすいものです。

ログインや機密情報を入力する前に、アドレスバーのURLを確認してください。フィッシングはMitM攻撃と組み合わされることが多く、攻撃者は偽のログインページを表示しつつ、実際のトラフィックも傍受します。微妙に異なるURLは、攻撃者のサーバー経由でリダイレクトされていることを示します。

サービスからの予期しない切断

メールが突然ログアウトされる。バンキングアプリがセッション中に切断される。メッセージングアプリが繰り返し接続を失う。これらの切断は説明なく発生し、時には突然復旧します。

攻撃者がトラフィックを傍受している場合、接続を自分のサーバー経由にリセットするためにこれらの切断を強制することがあります。特定のネットワークで複数のサービスが繰り返し強制ログアウトされる場合、セッションがハイジャックされリダイレクトされている可能性があります。攻撃者は検知されないように接続をリセットする必要があります。

デバイスが安全なウェブサイトに接続できない

通常HTTPS（鍵アイコン）で表示されるウェブサイトが、突然HTTP（鍵なし）で表示される、または全く読み込めなくなる。ブラウザが安全な接続を確立できないというエラーを表示することもあります。

一部のネットワークはシステム負荷軽減のためにHTTPSをHTTPにダウングレードしますが、MitM攻撃者は暗号化を除去する目的で意図的にこれを行います。HTTPSのはずのサイトで鍵アイコンが消えたり、安全な接続ができなくなった場合、トラフィックが傍受されている可能性があります。

リスクの高い場所での暗号化されていないWiFi

カフェ、空港、図書館、ホテルなどでパスワードなしのWiFiに接続する場合、これらのネットワークは信号をオープンに送信しているため、近くにいる誰でもトラフィックを監視できます。攻撃者は同じ場所にいなくても、同じネットワーク上にいれば十分です。

セキュリティが確保されていない公共WiFiは、MitM攻撃が最も発生しやすい場所です。攻撃者は近くに陣取り、同じネットワークに接続して全トラフィックを監視します。周囲の人物や使用しているデバイスが分からない混雑した公共スペースでは、リスクがさらに高まります。

類似したWiFiネットワークが複数存在

ほぼ同じ名前のネットワークが複数表示される。「AirportWiFi」と「AirportWifi」（Wが大文字）、「CoffeeShop_Guest」と「CoffeeShop_Guest5G」など。攻撃者は本物とほぼ同じ名前の偽ネットワークを作成します。

誤って偽ネットワークに接続すると、攻撃者はあなたのすべての操作に直接アクセスできます。傍受する必要すらなく、あなたのデータは直接攻撃者のデバイスに送信されます。

このような重複ネットワーク名は、ユーザーがよく確認せずに接続するため、MitM攻撃の一般的な手口です。

不審なDNS挙動

DNSクエリが予期しないサーバーにリダイレクトされる。ウェブサイトは読み込まれるが、広告やレイアウト、ポップアップが異なる。あるいは全く読み込まれず、エラーページが表示される。

DNSハイジャックはMitM攻撃の一種で、攻撃者がDNSリクエストを傍受し、偽サイトに誘導したり、サイト自体をブロックします。よく知っているサイトが見慣れない外観やレイアウトで表示される場合、DNSクエリが傍受され改ざんされたバージョンが提供されている可能性があります。

証明書ピニングの失敗

通常問題なく動作するアプリで突然証明書エラーが表示される。バンキングアプリが接続できない。メールクライアントがセキュリティ警告を表示する。普段使っているアプリでこれらの警告が出る場合があります。

一部のアプリは証明書ピニングを使用しており、特定のサーバー証明書のみを信頼します。攻撃者が偽の証明書で接続を傍受すると、アプリは期待する証明書と一致しないため接続を拒否します。普段使っているアプリで証明書エラーが発生する場合、傍受の可能性があります。

中間者プロキシの警告

設定していないプロキシサーバーに関するメッセージがデバイスに表示される。ネットワーク設定で不明なプロキシ経由でトラフィックがルーティングされている。ブラウザがプロキシ認証を求めてくるが、設定した覚えがない。

攻撃者はトラフィックを傍受するためにプロキシサーバーを設定します。見覚えのないプロキシ設定や、突然現れるプロキシ認証のプロンプトは、トラフィックが攻撃者のデバイス経由でルーティングされていることを示します。

セッショントークンやログインCookieの盗難

サービスにログインしたままなのに突然ログアウトされる。再度ログインすると、自分がいない場所からのログイン試行が表示される。アカウント設定に見覚えのないデバイスが表示される。

攻撃者がトラフィックを傍受すると、セッションクッキーやログイントークンを盗むことができます。これらのトークンを使ってパスワードなしでアカウントにアクセスします。見覚えのない場所やデバイスからのログイン履歴がある場合、セッションクレデンシャルが盗まれた可能性があります。

暗号化のダウングレードやSSL/TLSの問題

通常強力な暗号化を使用しているウェブサイトで、突然弱い暗号化の警告が表示される。ブラウザが古いセキュリティプロトコルに関するメッセージを表示する。接続が古くて安全性の低いHTTPSバージョンを使用している。

MitM攻撃者は、解読しやすい古くて弱い暗号化規格に接続をダウングレードしようとします。SSL/TLSのバージョンや弱い暗号化に関する警告が表示された場合、接続が傍受・ダウングレードされている可能性があります。

DNSキャッシュポイズニングの兆候

ウェブサイトが誤った場所にリダイレクトされる。銀行のリンクをクリックしたのに偽サイトに誘導される。ドメイン名の検索に通常より時間がかかったり、予期しないIPアドレスが返される。

攻撃者はDNSキャッシュを汚染し、実際のウェブサイトに対して偽のIPアドレスをデバイスに送り込みます。正規サイトに接続しているつもりでも、実際は攻撃者の偽サイトに接続しています。誤ったサイトへのリダイレクトやDNS検索の遅延はキャッシュポイズニングの兆候です。

デバイスのバッテリー消耗が異常に早い

スマートフォンやノートPCのバッテリーが、特に使用していないのに通常より早く減る。アプリを起動していないのにデバイスが熱くなる。バックグラウンドプロセスが許可していないデータ通信を行っている。

攻撃者がトラフィックを傍受している場合、同じネットワーク上でログ取得やデータ流出プロセスが動作している可能性があります。これらのプロセスは電力を消費し、発熱を引き起こします。特定のネットワークでバッテリー消耗や発熱が説明なく発生する場合、バックグラウンドでトラフィックが傍受されている可能性があります。

メールやメッセージのルーティング変更

メールの到着が通常より大幅に遅れる。送信したメッセージが相手に届かない。確認メールが普段と少し異なるアドレスから届く。連絡先との通信が不安定または遅延する。

攻撃者がメールやメッセージのトラフィックを傍受している場合、メッセージの遅延、改ざん、リダイレクトが発生します。特定のネットワークでのみ通信が不安定になる場合、そのトラフィックが傍受されている可能性があります。

ネットワークトラフィックの異常

新しいアプリや操作をしていないのにデータ使用量が急増する。特定の接続でネットワーク速度が大幅に低下する。特定のネットワークでのみ帯域制限が発生する。

攻撃者がトラフィックを傍受すると、コピーやログ取得、解析のために追加のデータフローが発生し、接続が遅くなります。特定のネットワークでデータ使用量の急増や速度低下が見られる場合、トラフィックに追加処理が行われている可能性があります。

ログイン認証情報が一時的に使えなくなる

サービスにログインしようとしても失敗し、パスワードが正しいのにログインできない。数分後には通常通りログインできる。この現象が同じネットワークで繰り返し発生する。

攻撃者がログイン試行を傍受・改ざんし、認証情報を取得しようとしている可能性があります。実際のログイン試行を遅延させ、その間に送信内容を取得することもあります。繰り返しログイン失敗の後に成功する場合、認証トラフィックが改ざんされている可能性があります。

MitM攻撃を防ぐためのベストプラクティス

ここからは、組織全体の安全を守るために実践できるMitM攻撃防止のベストプラクティスをご紹介します：

1. 在宅勤務ポリシーの見直しと自宅WiFiルーターのセキュリティ強化

従業員が在宅勤務をしている場合、WFHや社内ネットワークのセキュリティ強化が重要です。信頼性の高いWiFiルーターのソフトウェア（ファームウェア）を使用し、自動アップデートを有効にしてください。また、ルーターのセキュリティ設定を強化し、最低でもWPA3規格に準拠させましょう。従業員が出張時にはVPN経由でインターネットに接続するよう推奨してください。暗号化されたトラフィックは改ざんや傍受が困難なためです。

2. エンドツーエンド暗号化の利用

従業員には、メールや通信チャネルでエンドツーエンド暗号化を有効にするよう指示してください。一部のアプリ（WhatsappやTelegramなど）は自動的にバックグラウンドでこれを行いますが、すべてのアプリがそうとは限りません。ソフトウェアやスマートフォンでスキャンやQRコードを利用してエンドツーエンド暗号化を実現することも可能です。自社でプライベートアプリを利用している場合は、調査の上、導入を検討してください。

3. パッチ適用とアンチウイルスソフトの導入

初歩的な対策に思えるかもしれませんが、多くの従業員や企業が見落としがちです。攻撃者が「どうせ対策しているだろう」と思い込むのは危険です。基本的なサイバーハイジーンを怠る組織は意外と多いものです。セキュリティソフトのインストールとパッチ適用を必ず実施してください。また、エンドポイントセキュリティ対策を強化するため、最強のエンドポイント保護スイートを導入しましょう。

4. パスワードマネージャーの利用と強力なパスワード設定

「Muffin@Paleo123」のような推測・解読しやすいパスワードは使用しないでください。生年月日や電話番号、個人情報をパスワードに使わないでください。英字・数字・記号を組み合わせ、十分な長さにしましょう。同じパスワードをすべてのウェブページ、アプリ、サービスで使い回さないでください。すべて異なるパスワードを使用し、パスワードマネージャーで管理しましょう。社内のパスワード管理ポリシーも見直し、従業員には毎月またはそれ以上の頻度でパスワード変更を促してください。

5. 多要素認証（MFA）の適用

オンラインサービスやデバイスでMFAを利用し、新たな脅威に備えましょう。最良の防御策となります。認証アプリを利用し、デバイスでOTPを受信する設定も追加のセキュリティ層として有効です。

6. 安全なウェブサイトのみ利用

ブラウザURLの左側にある鍵アイコンに注目してください。これがサイトの安全性を示します。「https://」のプレフィックスも忘れずに。従業員には、これらのサインを確認してからウェブサイトにアクセスするよう指示してください。ウェブサイトの監査やチェックを自動で行う無料のブラウザプラグインも導入できますので、これを活用すれば自動的にルールを守れます。

従業員が非HTTPSサイトにアクセスするのを防ぐウェブフィルタリングプロトコルも多数存在します。SentinelOneにはブラウザ拡張機能やファイアウォール制御モジュールがあり、これによりウェブフィルタリング機能を利用できます。これらは包括的なエンドポイントおよびネットワークセキュリティ機能の一部としてプラットフォーム経由で利用可能です。

7. ネットワークトラフィックの異常監視

従業員は不審なデータフローに気づかないかもしれませんが、セキュリティチームは把握しておくべきです。ネットワーク監視ツールを導入し、予期しない外部接続や異常な時間帯のトラフィック急増を監視してください。異常なパターンを検知したら迅速に調査しましょう。攻撃者はMitM攻撃の前後にネットワークログに痕跡を残すことが多いです。

トラフィックを記録・分析するツールでこれらの兆候を検知できます。エンタープライズ向けソフトウェアでなくても、ほとんどのルーターには基本的なログ機能が備わっています。週に一度はログを確認し、異常があればフラグを立てましょう。また、従業員には最新のソーシャルエンジニアリング手法について教育し、フィッシングメールやスミッシング、ビッシングの兆候を見抜けるようにしてください。見知らぬ相手とやり取りしない、オンラインで話す相手を確認し、安易に機密情報を渡さないよう指導しましょう。

8. 古いネットワークプロトコルの無効化

ネットワークは依然としてSSL 3.0やTLS 1.0など、既知の脆弱性を持つ古いプロトコルをサポートしている場合があります。攻撃者はこれらの旧規格を悪用してトラフィックを傍受します。ネットワークやデバイスの設定をTLS 1.2以上に更新してください。

ITチームには、サーバー、ルーター、エンドポイントでレガシープロトコルを無効化するよう指示してください。古いプロトコルが有効なままだと、攻撃者に侵入口を与えることになります。非常に古いデバイスやソフトウェアとの互換性が失われる場合もありますが、セキュリティ向上のメリットがリスクを上回ります。従業員が実際に必要な接続先を確認し、それ以外は無効化しましょう。

9. SSL/TLS証明書の利用と検証

証明書はウェブサイトやサービスが正規であることを証明します。社内外のサービスには正規のSSL/TLS証明書を必ず導入してください。さらに、証明書が有効かどうかをスタッフに確認させる教育も重要です。

ブラウザで鍵アイコンをクリックすると証明書の詳細が表示されます。証明書がドメインと一致しない、または期限切れの場合は先に進まないでください。攻撃者は期限切れや自己署名証明書を使ってトラフィックを傍受することがあります。簡単な検証習慣で、偽証明書に依存するMitM攻撃の大半を防げます。新入社員のセキュリティオンボーディングにも組み込みましょう。

10. ネットワークのセグメント化とアクセス制限

全従業員がすべてのシステムにアクセスする必要はありません。ネットワークをファイナンス、人事、開発、ゲストWiFiなど、用途ごとに分割し、それぞれに独自のセキュリティルールを設けましょう。攻撃者が1つのセグメントを侵害しても、他の領域には自動的に到達できません。

ファイアウォールやアクセス制御を活用し、デバイスやユーザーごとに接続先を制限してください。経理部門の従業員がサーバーインフラにアクセスする必要はありません。このアプローチにより、攻撃者が初期アクセス後に横展開するのも困難になります。まずは機密データと一般利用エリアを分離し、実際の役割やニーズに応じて細分化しましょう。

SentinelOneによる中間者攻撃防止支援

SentinelOneは中間者攻撃を専用にブロックする製品は提供していませんが、これらの脅威に対抗・防御するための複数のセキュリティ機能を備えています。たとえば、Singularity™ Endpointを利用すれば、ネットワーク、アイデンティティ、ユーザー、デバイス向けにAI駆動の自律型エンドポイント保護を実現できます。

Singularity™ Mobileは、デバイス上で適応型かつリアルタイムの防御を提供し、増加するモバイル脅威に対抗します。脱獄やroot化されたデバイスからのリスクも排除可能です。中間者（MitM）攻撃、悪意ある無線通信や安全な通信の改ざんにも対応できます。フィッシングURLのブロックや新たなフィッシング手法の行動検知も可能です。テキスト、メッセージングアプリ、メール、SNSで不審なリンクを検知し、ユーザーが操作する前に認証情報の窃取やアカウント侵害を防止します。

Singularity™ XDRは、さらに高度なセキュリティカバレッジを提供します。ランサムウェアなどの脅威を阻止し、データサイロの課題に対応する統合型セキュリティプラットフォームを実現します。あらゆるソースからデータを取り込み正規化し、あらゆる攻撃面で相関分析が可能です。攻撃の全体像を把握できます。

SentinelOneは複数の脅威検知エンジンを活用し、インフラ全体の可視性を向上させます。データフローの監視、休眠・非アクティブアカウントの検出、ネットワークトラフィックやユーザー行動の分析が可能です。主な特徴は以下の通りです：

• SentinelOneの静的AIエンジンは、実行前にファイルをスキャンし、悪意のあるパターンを識別します。無害なファイルの分類も可能です。
• 行動AIエンジンは、リアルタイムで関係性を追跡し、エクスプロイトやファイルレスマルウェア攻撃から防御します。
• 全体的なルートコーズ分析や被害範囲分析を行うエンジンも搭載しています。
• アプリケーションコントロールエンジンは、コンテナイメージのセキュリティを確保します。
• STAR Rules Engineは、クラウドワークロードテレメトリのクエリを自動脅威ハンティングルールに変換できるルールベースエンジンです。
• SentinelOne Cloud Threat Intelligence Engineは、既知のマルウェアをシグネチャで検知するルールベースのレピュテーションエンジンです。

Prompt Security by SentinelOneは、許可されていないエージェントAIの動作や悪意あるプロンプトをブロックします。プロンプトインジェクションやウォレット/サービス拒否攻撃を防ぎ、シャドウAI利用に関するアラートも即時送信します。さらに、Purple AIは世界最先端のGen AIサイバーセキュリティアナリストであり、最適なセキュリティインサイトを提供し、セキュリティ投資の最大化を支援します。これらの統合セキュリティ機能は、SentinelOneのSingularity™ Platformを通じて利用可能です。

まとめ

MitM攻撃の仕組みとその防止策を理解した今、最適なセキュリティプロトコルを自信を持って適用できるようになるでしょう。組織に適した統合セキュリティスタックを活用し、全員で情報を共有してください。従業員にこれらの脅威について教育し、傍受されないための対応策を理解しているかテストしましょう。SentinelOneがあれば、これらの脅威から通信を守り、攻撃者による盗聴を防ぐことができます。