What is a Man in the Middle (MitM) Attack?

中間者攻撃(MitM)は、攻撃者が通信する2つの当事者の間に侵入するという事実からその名前が付けられた主要な サイバー脅威 です。 すべての通信が宛先に向かう途中で攻撃者を通過すると、攻撃者が意図した受信者に到達する前にメッセージをドロップ、読み取り、または変更する可能性があります。

Read the Security Report 無料セキュリティ診断

What is a Man in the Middle (MitM) Attack?

中間者(MitM)攻撃の仕組み

MitM 攻撃を実行するには、攻撃者は 2 つの目標を達成する必要があります。 まず、宛先に向かう途中でトラフィックを傍受できるような方法で通信に自分自身を挿入する必要があります。 攻撃者がこれを実行する方法には、次のようなものがあります。

  • 悪質なWi-Fi: すべての W-Fi トラフィックはワイヤレス アクセス ポイント (AP) を通過するため、ワイヤレス AP を制御し、ユーザーを騙して接続させることができる攻撃者は、すべてのトラフィックを傍受できます。
  • ARPスプーフィング: アドレス解決プロトコル(ARP)は、IPアドレスをMACアドレスにマッピングするために使用されます。 攻撃者は、偽のARPメッセージを使用して、ターゲットのIPアドレスをMACアドレスにマッピングし、代わりにターゲットのトラフィックを送信させます。
  • DNSスプーフィング:ドメイン ネーム システム (DNS) は、ドメイン名を IP アドレスにマッピングします。偽のDNSレコードでDNSキャッシュをポイズニングすると、ターゲットドメインへのトラフィックが攻撃者のIPアドレスにルーティングされる可能性があります。
  • BGPハイジャック: Border Gartner Magic Quadrant Protocol(BGP)は、特定のIPアドレスへの最適なルートを持つ自律システム(AS)を識別するために使用されます。 BGPハイジャックでは、偽のルートをアドバタイズして、特定のトラフィックが攻撃者のシステムを通過するようにします。

通信の途中で、攻撃者はメッセージを読むことができる必要があります。ただし、インターネットトラフィックのかなりの割合がSSL/TLSを使用して暗号化されています。 トラフィックが暗号化されている場合、メッセージを読み取って変更するには、SSL/TLS接続をスプーフィングまたは切断する機能が必要です。

これは、いくつかの異なる方法で実現できます。 攻撃者がユーザーを騙してサイトの偽のデジタル証明書を受け入れるように誘導できる場合、攻撃者はクライアントのトラフィックを解読し、サーバーに送信する前に読み取りまたは変更することができます。 また、攻撃者は、SSLストリッピング攻撃やダウングレード攻撃を使用して、SSL/TLSセッションのセキュリティを破ることもできます。

中間者攻撃の例

MitM攻撃は、攻撃されるプロトコルと攻撃者の目的に応じて、さまざまな方法で実行できます。 たとえば、通信ストリームが暗号化されておらず、攻撃者がターゲットトラフィックが通過するルート上に自然に位置している場合、MitM攻撃の実行は容易です。

シナリオ 1: 脆弱な IoT/モバイル アプリケーション

平均的なユーザーは、URLバーのhttpsとロックアイコンに基づいて、Webブラウジングセッションが暗号化されているかどうかを判断する方法について教育を受けています。 しかし、データストリームが暗号化されていることを確認することは、モバイルアプリケーションや モノのインターネット (IoTデバイス)ではより困難です。 これらのセキュリティが低く、TelnetやHTTPなどの暗号化されていないプロトコルを使用して通信することは珍しくありません。

この場合、攻撃者はモバイルアプリやIoTデバイスとサーバーの間を流れるデータを簡単に読み取ったり、変更したりする可能性があります。 攻撃者は、ワイヤレスアクセスポイントまたは何らかの形式のスプーフィングを使用して、すべてのトラフィックがそれらを通過するように通信ストリームに自分自身を挿入できます。 これらのプロトコルには、データの整合性や信頼性に関するチェックが組み込まれていないため、攻撃者はトラフィックの内容を自由に変更できます。

シナリオ 2: 偽のデジタル証明書

SSL/TLSは、ネットワークトラフィックに機密性、整合性、および認証を提供することにより、MitM攻撃から保護するように設計されています。 ただし、ユーザーが特定のドメインに対して有効なデジタル証明書のみを受け入れることに依存しています。 攻撃者がユーザーを騙してフィッシングサイトにアクセスさせたり、偽の証明書を受け入れさせたり、企業が SSLインスペクションに使用するデジタル証明書を侵害したりできる場合、これらの保護は破られます。

このシナリオでは、攻撃者はSSL/TLSで暗号化された2つの別々のセッションを維持します。 1つは、サーバーになりすまし、偽のSSL証明書を使用してクライアントに接続することです。 もう一方は、正規のサーバーに接続するクライアントを装います。 攻撃者は両方のセッションを制御するため、一方のセッションからデータを復号化し、検査して変更し、もう一方のセッションで再暗号化することができます。

中間者攻撃の防止

MitM攻撃は、攻撃者がトラフィックを傍受して読み取ることができるかどうかにかかっています。 これを防ぐための インターネットセキュリティ のベストプラクティスには、次のようなものがあります。

  • 公共Wi-Fiに注意してください。 公衆Wi-Fi経由のトラフィックはすべてAPを通過し、攻撃者の制御下にある可能性があります。 既知で信頼できるWi-Fiネットワークにのみ接続してください。
  • VPNを使用する: 仮想プライベートネットワーク(VPN)は、リモートユーザーまたはサイトとVPNエンドポイント間のトラフィックを暗号化します。 これにより、MitM 攻撃者が傍受したトラフィックを読み取ったり変更したりするのを防ぎます。

デジタル証明書の検証: 正規の Web サイトには、ブラウザーで有効として表示されるデジタル証明書が常に必要です。 疑わしい証明書を信頼すると、MitM 攻撃が有効になる可能性があります。

チェック・ポイントでMITMから守る

チェック・ポイントのリモートアクセスVPNは、MitM攻撃やその他の サイバー攻撃からリモートの従業員を保護するのに役立ちます。 組織が直面しているサイバー脅威の詳細については、 2023 年のサイバーセキュリティ レポートをご覧ください。 次に、無料のセキュリティ診断を受けて、組織の セキュリティ 体制を改善する方法を学びます。

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK