攻撃と脅威
中間者攻撃 (MitM)
別称: MitM 攻撃, 経路上攻撃
定義
通信中の双方が直接やり取りしていると信じている間に、攻撃者が通信を密かに中継・改ざんする攻撃。
中間者攻撃(MitM)は、攻撃者が二者間のネットワーク経路上に位置取り、通信を傍受・閲覧・改変・挿入できる状態を作り出す攻撃です。代表的な手段は、LAN 上での ARP スプーフィング、不正な Wi-Fi アクセスポイント、BGP・DNS ハイジャック、悪意あるプロキシ、侵害された TLS インスペクション機器などです。目的は、認証情報の窃取、セッションハイジャック、取引の改ざん、弱い暗号方式へのダウングレード攻撃などです。対策には、有効な証明書を用いた TLS や mTLS による強力な認証付き暗号化、HSTS、証明書ピンニング、DNSSEC と暗号化 DNS、WPA3 や 802.1X による安全な Wi-Fi、旧 SSL/TLS の無効化などのプロトコルハードニングが含まれます。
例
- カフェの開放型 Wi-Fi で、暗号化されていない HTTP 通信を傍受し、ソフトウェア更新の URL を悪意あるバイナリへ置き換える。
- BGP ハイジャックにより決済サービスの経路が攻撃者の ISP を通過し、その途中で TLS インスペクションが行われる。
関連用語
ARP スプーフィング
ローカルネットワーク上で偽の ARP メッセージを送信し、攻撃者の MAC アドレスを他ホストの IP に結びつけて通信を奪取する攻撃。
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
SSL ストリッピング
被害者の HTTPS 接続を密かに平文の HTTP にダウングレードさせ、攻撃者が通信内容を読み取り改ざんできるようにする中間者攻撃。
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
イービルツイン攻撃
正規 SSID を模した不正アクセスポイントを設置し、被害者を接続させて通信や認証情報を盗む Wi-Fi 攻撃。
不正アクセスポイント
ネットワークに無断で接続された Wi-Fi アクセスポイント。攻撃者が仕掛けたり従業員が善意で設置したりして、ネットワークセキュリティを迂回する。