多要素認証(MFA)を突破する攻撃手段である「Adversary in the middle(AiTM攻撃)」への警戒が強まっています。多要素認証はフィッシング詐欺への有効な対策の1つですが、AiTM攻撃によってどのように突破されるのでしょうか。この記事では、AiTM攻撃の手口や対策を解説します。
Adversary in the middle(AiTM攻撃)とは
Adversary in the middle(AiTM攻撃)とは、多要素認証を通過した状態のデータ(セッションCookie)を盗み出すフィッシング攻撃です。ログインIDやパスワードに加え、SMSなどの多要素認証を用いるWebサイトは多数あります。AiTM攻撃は、多要素認証に成功したセッションCookie自体を摂取する手口です。そのため、攻撃者はWebサイトの多要素認証を回避し、正規ユーザーのふりをしてログインできてしまいます。
AiTM攻撃の手口
攻撃者は、正規サイトに似せた偽装サイトへ誘導するフィッシングメールを標的のユーザーへ送信します。偽装サイトは、ユーザーと正規サイト間の通信を中継する「プロキシサーバ」として働く仕組みです。
次に、ユーザーが偽装サイトにID・パスワードを入力し、偽装サイトはそのまま正規サイトへ入力内容をリクエストします。偽装サイトは正規サイトの多要素認証の要求ページを中継し、ユーザーへ転送します。ユーザーが多要素認証に成功すると、攻撃者は認証済みのセッションCookieを取得できるわけです。
なお、認証後のユーザーは正規サイトへ遷移させられるため、偽装サイトの存在に気づきません。攻撃者は取得したセッションCookieをブラウザに入力し、正規サイトの多要素認証を回避してログイン後のページへアクセスします。
フィッシング攻撃との違い
従来のフィッシング攻撃は、偽装サイトに入力されたID・パスワードなどの認証情報のみ窃取する手口です。ゆえに、多要素認証が設定されているサイトであれば、多くの場合は認証を通過できません。
対するAiTM攻撃は、多要素認証に成功した後のログイン状態を保つセッションCookieを取得します。多要素認証を設定していても、そもそも認証画面を回避されてしまうわけです。つまり、AiTM攻撃は従来のフィッシング詐欺に比べ、多要素認証を突破される可能性が高い手段と言えます。
AiTM攻撃にあったらどうなる?
AiTM攻撃の被害に遭うと、正規サイトへログインされてしまいます。通常のフィッシング詐欺と同様に、正規サイト内の情報を悪用されるでしょう。たとえば、企業アカウントであれば、正規サイトに保管されている機密データや顧客の個人情報を盗まれるかもしれません。個人のインターネットバンキングなら、不正送金の被害に遭う恐れがあります。
AiTM攻撃の対策方法
2022年7月、大規模なAiTM攻撃を観測したマイクロソフト社によれば、「FIDO(ver2.0)」の生体認証や物理セキュリティキーが有効的な対策としています(※1)。FIDO(ver2.0)準拠の認証であれば、セッションCookieは盗まれないとの見解を示しました。
加えて、ログイン認証に「条件付きアクセス」のポリシー適用も推奨しています。ログインの許可条件にデバイスやIPアドレス、場所、時間といった要素を追加することで、AiTM攻撃の予防が可能です。また、フィッシングメールを排除するセキュリティ製品の導入も効果的です。
※1:Microsoft 365 Defender Research Team「From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud」
まとめ
Adversary in the middle(AiTM攻撃)は、多要素認証を回避してログイン後の正規ページへアクセスする攻撃手口です。情報漏えいや不正送金などの被害につながるため、強固なセキュリティ対策が重要になります。FIDO(ver2.0)準拠の生体認証や条件付きアクセスポリシーを採用し、AiTM攻撃を未然に防ぎましょう。