中間者攻撃(AITM)は、双方を偽装する高度なMITM攻撃の一種です。本ガイドでは、AITM攻撃の仕組み、リスク、検知・防止策について解説します。
強固な認証と暗号化の重要性について学びましょう。AITM 攻撃を理解することは、組織がサイバーセキュリティ防御を強化するために不可欠です。
中間者攻撃(AitM)の概要
中間者攻撃(AitM)は、受動的な盗聴にとどまらず、データや通信を積極的に操作するという積極的な関与が特徴です。この特性により、サイバーセキュリティ環境において強力な脅威となっています。
中間者攻撃の概念は、もともと2者間の通信を傍受する手段として登場した中間者攻撃(MitM攻撃)の歴史的発展に根ざしています。初期のMitM攻撃は、主に暗号化されていない通信チャネル(例:セキュリティ対策されていないWi-Fiネットワークや暗号化されていないメール通信)の盗聴を伴っていました。これらの攻撃は、送信されるコンテンツを改ざんすることなく、データの機密性を侵害することを目的としていました。
今日、MitM攻撃は高度に洗練され悪質なものへと進化しています。これらは以下のような様々な形態で現れます:
- 認証情報の収集 — AitM攻撃者は、ユーザー名やパスワードなどのログイン認証情報を傍受し、アカウントや機密システムへの不正アクセスを試みます。
- データ改ざん — 攻撃者は転送中のデータパケットの内容を改変し、情報を変更したり、正当なデータフローに悪意のあるコードを注入したりする可能性があります。
- 盗聴 — AitM攻撃は能動的な改ざんを伴うことが多い一方、諜報活動やデータ窃取を目的として機密通信を受動的に盗聴することもあります。
- フィッシング & スプーフィング– AitM攻撃では、正当な組織を装い、被害者に機密情報を漏洩させたり不正取引を行わせたりすることがあります。
- マルウェア配信 — 場合によっては、AitM攻撃者は自身の立場を利用して、標的システムを侵害するための悪意のあるソフトウェア更新プログラムやペイロードを配信することがあります。
AitM攻撃の重大性は、深刻な損害をもたらす可能性にあります。データ完全性を損ない、プライバシーを侵害し、個人情報の盗難を助長し、金融詐欺を可能にします。金融、医療、政府などの重要分野では、AitM攻撃は壊滅的な侵害を引き起こし、広範な影響を及ぼす可能性があります。
中間者攻撃(AitM)の仕組みを理解する
AitM攻撃では、悪意のある攻撃者がデータや通信の送信者と受信者の間に戦略的に位置します。この位置取りにより、攻撃者は両者間でやり取りされるトラフィックを傍受、改ざん、または転送することが可能になります。これは、ネットワーク機器の侵害、脆弱性の悪用、その他の手段によるネットワークへの侵入など、様々な方法で達成されます。
戦略的位置を確保すると、攻撃者は被害者とその意図された宛先間でやり取りされるデータ通信を傍受します。この傍受は、ネットワーク層(例:悪意のあるプロキシサーバー経由でのトラフィックルーティング)、トランスポート層(例:TCP/IP接続の傍受)、さらにはアプリケーション層(例:HTTPリクエストとレスポンスの改ざん)など、様々な通信層で発生する可能性があります。
能動的改ざん
AitM攻撃の特徴は、傍受したデータに対する能動的な改ざんにある。攻撃者はパケットの内容を改変したり、悪意のあるペイロードを注入したり、転送中のデータを変更したりできる。この改ざんにはいくつかの形態がある:
- コンテンツ改変 — 攻撃者はメッセージ、ファイル、データパケットの内容を変更し、マルウェアや不正情報などの悪意あるコンテンツを挿入できます。
- データ流出 –AitM攻撃者は、傍受したトラフィックからログイン認証情報、財務データ、機密文書などの機密情報を抜き取る可能性があります。
- ペイロード注入 – マルウェアやランサムウェアなどの悪意のあるペイロードを正当なデータフローに注入し、リモートコード実行やシステムのさらなる侵害を可能にします。
セッションハイジャック
AitM攻撃者は、被害者と正当なエンドポイント間の確立された通信セッションを乗っ取ることが可能です。これには、セッショントークンやクッキーの奪取を伴い、被害者を装って保護されたシステムやアカウントへの不正アクセスを可能にします。
フィッシングとスプーフィング
AitM攻撃者は、自身の立場を利用してウェブサイト、メールサーバー、ログインポータルなどの信頼できるエンティティを偽装することがあります。これにより、被害者を欺いて機密情報を開示させたり、不正な取引を開始するなどの詐欺行為を行わせたりすることが可能になります。
暗号化回避
通信が暗号化されている場合(例:WebトラフィックにおけるHTTPS使用時)、AitM攻撃者は暗号化を回避する手法を頻繁に採用します。これには、正当なセキュリティ証明書を自身のものとすり替える、マン・イン・ザ・ブラウザ攻撃を実行する、暗号化の脆弱性を悪用するなどの手法が含まれます。
データ流出と持続的侵入
攻撃者が目的を達成した後、盗んだデータを流出させたり、侵害されたネットワーク内に持続的に潜伏したりすることがあります。この持続的侵入により、長期間にわたりデータの監視、操作、流出を継続することが可能となります。
より深い脅威インテリジェンスを得るAitm Attack FAQs
AitM攻撃は、攻撃者が通信する2者の間に位置してデータを傍受・改ざんする攻撃です。攻撃者はプロキシサーバーを用いてユーザーと正規ウェブサイトの間に割り込み、認証情報やセッショントークンをリアルタイムで取得します。この手法により、攻撃者はアクティブなセッションクッキーを盗み出すことでMFAを迂回できます。
AitMはAdversary-in-the-Middle(中間者攻撃)の略称です。これはMITRE ATT&CKフレームワークで、脅威アクターが2者間の通信を傍受する攻撃を指す公式用語です。この用語は、受動的な盗聴と比較して、攻撃者の能動的で悪意のある意図を強調しています。
MITMは傍受型の攻撃ベクトル全般を指すのに対し、AitMは特に複雑なフィッシングやソーシャルエンジニアリング操作を標的とします。AitM攻撃はより高度で、ネットワークインフラの積極的な操作を伴います。MITM攻撃は機会主義的な場合が多いのに対し、AitM攻撃は標的を定め、安全な認証を迂回するよう設計されています。
攻撃者はリバースWebプロキシを用いて正規サイトを精巧に複製します。DNS操作、ARPスプーフィング、セッションハイジャックで通信を傍受。悪意のあるリンクを含むフィッシングメールで被害者をAitMサイトに誘導し、認証トークンを窃取します。SSLストリッピングや証明書操作も使用します。
マイクロソフトは、攻撃者がEvilginx2フィッシングキットを使用したOffice 365ユーザーを標的としたAitM攻撃を報告しています。Blackwood APTグループは、Tencent QQなどのアプリケーション向けソフトウェア更新を標的とするためにAitMを利用しました。2021年以降、1万以上の組織を標的とした大規模キャンペーンが発生しています。金融サービスや医療機関が頻繁に標的となっています。
不審なログインパターンや予期せぬ場所からの異常な認証行動を監視する。ネットワークトラフィックを分析しプロキシ指標を検知する高度な脅威検知システムを導入する。条件付きアクセスポリシーを用いて不可能な移動シナリオやデバイスの不整合を検出する。自社ブランドのカナリアトークンを展開しフィッシングサイトを検知する。
WebAuthnハードウェアトークンなどのフィッシング耐性のある認証方法を採用する。デバイスの信頼性と位置情報を評価する条件付きアクセスポリシーを導入する。有効期間を短縮したセッションクッキー管理を導入し、フィッシングの認識についてユーザーを教育してください。
ネットワークセグメンテーションと異常な認証パターンの継続的監視を活用してください。
