中間者攻撃を行う者は、多くの場合、データを盗むことを目的として被害者と被害者がアクセスしようとするサービスの間に身を置きます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
オンパス攻撃は、2つのデバイス(多くの場合WebブラウザとWebサーバ)の間に身を置き、2つのデバイス間の通信を傍受または改ざんを行います。その後、攻撃者は情報を収集するだけでなく、2つのエージェントのいずれかになりすますこともできます。このような攻撃は、Webサイトの他にも、メール通信、DNSルックアップ、および公衆無線LANネットワークも標的とすることができます。オンパス攻撃の典型的な標的は、SaaS業者、eコマース業者、金融アプリのユーザーなどです。
中間者攻撃者は、郵便局に座って2人の間で書かれた手紙を傍受する不正な郵便局員に例えることができます。この郵便局員は、プライベートなメッセージを読んだり、本来の受信者に渡す前に手紙の内容を編集することすらできます。
より最近の例では、中間者攻撃者は、ユーザーと訪問したいWebサイトの間に入り、ユーザー名とパスワードを収集します。これは、ユーザーとWebサイトの間のHTTP接続をターゲットにすることで実行できます。この接続をハイジャックすると、攻撃者はプロキシとして動作し、ユーザーとサイトの間で送信される情報を収集および変更できます。あるいは、攻撃者はユーザーのCookie(Webサイトによって作成され、識別およびその他の目的でユーザーのコンピューターに保存された小さなデータ)を盗むことができます。これらの盗まれたCookieを使用してユーザーのセッションをハイジャックし、攻撃者がサイトでそのユーザーになりすますことができます。
また、オンパス攻撃はDNSサーバーも標的とすることができます。DNSルックアッププロセスは、ドメイン名をIPアドレスに変換することで、WebブラウザがWebサイトを検索できるようにするものです。DNSスプーフィングやDNSハイジャックなどのDNSにおける中間者攻撃では、攻撃者はDNSルックアッププロセスを侵害し、ユーザーを偽のサイト(多くの場合、マルウェアを配布するサイトや機密情報を収集するサイト)に誘導します。
もう1つの一般的な中間者攻撃は、メールハイジャックです。これは、攻撃者がメールサーバーとWebの間に入り込みメールサーバーに侵入するために使用します。サーバーが侵害/危害を受けると、攻撃者はさまざまな目的でメール通信を監視できます。そのような詐欺の1つに、ある人が別の人にお金を転送する必要がある状況(たとえば、顧客が企業にお金を払う)を待つことがあります。その後、攻撃者はなりすましのメールアドレスを使用して、お金を攻撃者のアカウントに送金するように要求できます。このメールは、受信者にとっては合法で無害なように見えます(「申し訳ありません、先ほどのメールにタイプミスがありました。アカウント番号は実際にはXXX-XXXXです」)。2015年、ベルギーのサイバー犯罪組織が、メールハイジャックを使用して、ヨーロッパのさまざまな企業から600万ユーロ以上詐取しました。
中間者攻撃は、多くの場合WiFiネットワークを介して実行されます。攻撃者は、無害に見える、または正当なWiFiネットワークのクローンである悪意のあるWiFiネットワークを作成します。ユーザーが侵害/危害を受けたWiFiネットワークに接続すると、中間者攻撃者はそのユーザーのオンラインアクティビティを監視できます。巧妙な攻撃者は、正当なWebサイトの偽のコピーにユーザーのブラウザをリダイレクトすることさえあります。
中間者攻撃者は様々な手法を用いるため、これらの攻撃に対するオールインワンソリューションは存在しません。HTTPトラフィックを標的とした攻撃から保護する最も基本的な方法の1つは、ユーザーとWebサービス間でセキュリティで保護された接続を作成するSSL/TLSを採用することです。しかし、より巧妙な中間者攻撃者は SSL/TLS の保護を回避することができるため、残念ながらこれは完全な解決策ではありません。このような攻撃からさらに保護するために、一部のWebサービスでは、あらゆるブラウザまたはアプリに安全なSSL/TLS接続を強制し、安全でないHTTP接続をブロックし、クッキーの盗難を防止するHTTP Strict Transport Security(HSTS)を実装しています。HSTSの詳細についてはCloudflareのブログをご覧ください。
認証証明書は、これらの攻撃から保護するためにも使用できます。組織は、すべてのデバイスに証明書ベースの認証を実装できるため、適切に構成された証明書を持つユーザーのみがシステムにアクセスできます。
メールハイジャックを防止するために、Secure/Multipurpose Internet Mail Extensions(S/MIME)を使用できます。このプロトコルはメールを暗号化し、ユーザーが一意のデジタル証明書でメールにデジタル署名できるようにして、受信者にメッセージが正当であることを知らせます。
個々のユーザーは、セキュアな仮想プライベートネットワーク(VPN)で保護されていない限り、パブリックWiFiネットワークで機密情報を送信しないようにすることで、中間者攻撃から身を守ることもできます。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集