中間者攻撃（AiTM攻撃）とは？事例と対策

中間者攻撃は、AiTM（Adversary in the Middle）攻撃とも呼ばれ、送信者から受信者へのデータを攻撃者が傍受し、その後、受信者から送信者に戻すというデータ盗聴・窃盗の一種です。攻撃者のデバイスが送信者と受信者の間に位置し、どちらにも盗聴を気づかせることなく静かにメッセージを中継することから、「中間者」と呼ばれます。攻撃者は通常、標的となるユーザーと同じネットワーク上に位置しますが、データが攻撃者のいる経路を横切れば、リモートネットワークでも盗聴が可能です。AiTMを使用すると、攻撃者はパスワード、個人を特定できる情報（PII）、知的財産、プライベートメッセージ、企業秘密を入手することができます。高度な攻撃では、攻撃者はターゲットとなるユーザーのデバイスにマルウェアをインストールさせる可能性があります。

攻撃者が二者間のサードパーティによる通信を読み取ることができる方法は、すべてAiTMとみなされます。攻撃者が発見されないようにすることが必須であるため、攻撃者はしばしばネットワークや個人アカウントに侵入し、二者が通信する際に情報を読み取りながら、攻撃者の活動を気づかせるようなことは何もしません。優れたAiTMは、攻撃者が発見される前に数ヶ月間情報を読み取ることができるようにします。

最も一般的な方法は、通常、公衆Wi-Fiネットワーク上で行われるARPポイズニングです。攻撃者は、ネットワーク上にいる間、標的となるユーザーのデバイスに、攻撃者のデバイスをデフォルトゲートウェイとして使用するように指示するメッセージを送信します。その後、攻撃者はデフォルトゲートウェイ（通常はWi-Fiルーター）に対して、ターゲットユーザーのIPアドレスがターゲットユーザーのデバイスではなく、攻撃者のデバイスに関連付けられるべきというARPポイズニングメッセージを送信します。これにより、攻撃者のデバイスは、ターゲットユーザーとデフォルトゲートウェイ間の通信の「中間」に位置することになり、攻撃者はデータを傍受することができるようになります。つまり、攻撃者側のデバイスは、プロキシサーバーと同様のプロキシとして機能します。

データがクリアテキストである場合（HTTPS 接続がない場合）、攻撃者は 二者間でやり取りされるあらゆるデータにアクセスすることができます。例えば、ユーザーがHTTPを使ってアプリケーションを認証した場合、ユーザー名とパスワードが傍受され、攻撃者に見えてしまうことになります。

HTTPS接続でさえも、AiTM攻撃から完全に保護されるわけではありません。TLS 1.0のようなライブラリを使った非推奨の暗号接続をサーバーが受け入れた場合、傍受された暗号化データは、クリアテキストに変換できるブルートフォース攻撃に脆弱になる可能性があります。この方法では、攻撃者は送信者と受信者のサーバーにARPポイズニングメッセージを送信しますが、HTTPS接続を安全でないライブラリにダウングレードし、ユーザーのデバイスをだまして暗号化アルゴリズムをダウングレードさせます。このダウングレードはユーザーには見えないため、ユーザーはHTTPS接続が安全でないことに気づきません。HTTPSを使用してデータが渡されると、攻撃者は依然としてデータを解読し、通信を読み取ることができます。

一般にAiTM攻撃として知られているARPポイズニングですが、他のデータ傍受の方法でも、攻撃者は二者間のプライベートな通信を読み取ることが可能です。

AiTM攻撃は、主に以下の5つのカテゴリーに分類されます。

• メールのハイジャック: クリアテキストで送信されたメールメッセージは、盗聴される可能性がありますが、攻撃者は、標的となるユーザーのメールアカウントのユーザー名とパスワードを入手すれば、メッセージを読むことも可能です。攻撃者は、金融取引などの機密情報が送信されるまでメッセージを読みながら静かに待機し、標的ユーザーのメールアドレスを使用して、攻撃者の銀行口座に送金を迂回させるメッセージを送信する可能性があります。
• Wi-Fiによる盗聴: セキュリティが不十分なWi-Fi接続は、ARPポイズニングと呼ばれる手法でAiTM攻撃の対象となる可能性があります。攻撃者のデバイスは、送信者とWi-Fiルーターの間のデフォルトゲートウェイとして使用され、データを傍受して読み取ることができます。また、攻撃者は、独自の悪質なホットスポットを使用してユーザーを騙し、攻撃者が管理するホットスポットを経由して接続し、通信をルーティングさせます。
• セッションハイジャック: ユーザーがサーバーに接続すると、サーバー上でユーザーを識別する固有のセッションが作成されます。このセッショントークンにアクセスした攻撃者は、ユーザーになりすまし、Webアプリケーション上のデータを読み取ることができます。
• IPスプーフィング: 攻撃者は、不正なIPアドレスを使って、公式サイトからのトラフィックを攻撃者の管理するサーバーに転送します。
• DNSスプーフィング: IPスプーフィングと同様に、DNSスプーフィングもWebサイトのアドレスレコードを改ざんし、攻撃者が管理するサーバーにトラフィックを転送します。このサーバーに送信された情報は、騙されたユーザーに気づかれないように攻撃者に傍受されます。

モバイルデバイスでインターネットにアクセスするユーザーが増える中、AiTM攻撃は多くの場合、iOSやAndroidを標的としています。攻撃者は、アプリケーションにコードを注入したり、悪意のあるアプリを使用してデータを傍受したり、デバイスとリモートAPIの間でデータを読み取るために独自のプロキシをインストールしたりします。例えば、悪意のあるプロキシを使用して、TinderやTwitterのメッセージを読み取ることができます。証明書のピン留めによってこの問題は阻止されましたが、攻撃者は依然として悪意のあるアプリと連携し、リモート接続が行われる前、データが暗号化される前にデータを読み取っています。

金融組織を狙った標的型トロイの木馬である「Retefe」は、送信者と金融サーバーの間のデータを傍受するために作成されました。このマルウェアは、Chrome、Firefox、Internet Explorerなど、ほとんどのユーザーがデスクトップコンピューターで使用している主要なブラウザに影響を及ぼしました。偽の証明書をインストールし、ブラウザの設定でデフォルトのプロキシとして使用されている攻撃者が管理するサーバーにトラフィックをルーティングします。ユーザーデータは攻撃者のサーバーで収集され、復号化されます。Retefeマルウェアは、ほとんどの主要な金融機関の銀行取引の攻撃ベクトルとして使用されましたが、主なターゲットは日本、スイス、イギリス、スウェーデンの銀行でした。

AiTM攻撃は、標的となったユーザーには見えない、沈黙の攻撃であるため、ユーザーが必要な予防策を講じることが不可欠です。また、アプリケーションの開発者の責任として、開発したソフトウェアがAiTM攻撃に対して脆弱でないことを確認する必要があります。場合によっては、アプリケーションのコーディングの仕方によって、ユーザーが中間者攻撃を防ぐことができないことがあります。

AiTM攻撃の被害に遭わないためのいくつかの方法をご紹介します。

• メールアカウントに2要素認証を使用する。仮に攻撃者があなたのアカウントのメール情報を入手したとしても、攻撃者は2要素認証のPINにアクセスできないため、認証を成功させることはできません。
• ネットワーク上でトラフィック解析ツールを使用する。これらのツールは、管理者が疑わしいトラフィックを特定し、ユーザーやデバイスのポートやプロトコルの使用状況を分析するのに役立ちます。
• モバイルアプリに証明書ピン留めを使用する。証明書のピン留めは、承認された証明書をホワイトリスト化し、攻撃者が管理する証明書がアプリケーションで使用されないようにブロックします。証明書のピン留めは、アプリケーション開発者の責任で行う必要があります。
• 公衆Wi-FiネットワークでVPNを使用する。VPNを使用すると、攻撃者はデータを傍受することはできても、データを読み取ったり、より弱い暗号化プロトコルにダウングレードしたりすることはできません。VPNは、データをパッケージ化するために独自の暗号化アルゴリズムを使用し、インターネット上でデータを転送します。
• フィッシングの危険性について、従業員を教育する。AiTMやマルウェアの攻撃の中には、フィッシング攻撃から始まるものがあります。マルウェアをインストールしたり、攻撃者に認証情報を送信したりしないように、フィッシング攻撃を見分けるための従業員教育を行います。
• メールセキュリティを統合する。メールフィルターは、フィッシングメールや悪意のある添付ファイルを含むメッセージの大部分を検出し、管理者が確認できる安全な検疫ストレージに送ります。
• 知らないWi-Fiホットスポットに接続しない。攻撃者は、公式ソースに類似した名称の悪意のあるホットスポットを使用します。公衆Wi-Fiに接続する際は、そのWi-Fiが正規のプロバイダーによるものであることを確認した上で接続するようにしてください。