AiTM攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. AiTM攻撃
             

AiTM攻撃

AiTM(Adversary-in-The-Middle)攻撃とは、従来の「中間者攻撃(Man-in-the-Middle, MITM)」の一種で、攻撃者が通信の途中に介入し、ユーザーとシステムの間で送受信される情報を傍受・改ざん・盗取する手法です。特にAiTM攻撃は、ユーザーが行う認証手続きを標的にし、ログイン情報やセッション情報を不正に取得し、認証済みのセッションを攻撃者が乗っ取ることを目的としています。

AiTM攻撃は、二要素認証(2FA)を利用しているシステムに対しても影響を及ぼすことがあり、従来の中間者攻撃に比べて高度であるとされています。この攻撃手法は、特にクラウドサービスやWebアプリケーションのアカウント乗っ取りに使用されることが多く、フィッシングサイトなどを用いて行われます。

AiTM攻撃の仕組み

AiTM攻撃は、次のような手順で行われます。

  1. 偽のフィッシングサイトの作成
    攻撃者は、ターゲットとなる正規サイトに酷似したフィッシングサイトを作成します。このフィッシングサイトは、見た目やURLが正規サイトに似ているため、ユーザーは偽サイトであると気づかずにアクセスしてしまうことが多いです。
  2. ユーザーのフィッシングサイトへの誘導
    メールやSMS、ソーシャルメディアなどを利用して、ユーザーをフィッシングサイトに誘導します。ユーザーがリンクをクリックしてフィッシングサイトにアクセスすると、攻撃者はその接続を通じてユーザーと正規サイトの通信を傍受します。
  3. 認証情報の窃取
    ユーザーがフィッシングサイトに認証情報(IDやパスワード)を入力すると、その情報は攻撃者によって傍受されます。さらに、フィッシングサイトは正規サイトにリクエストを転送し、ユーザーに代わって正規のログイン手続きを完了させます。
  4. 二要素認証(2FA)のバイパス
    もしターゲットサイトが二要素認証を使用している場合、フィッシングサイトがユーザーに二要素認証コードを入力させ、それを攻撃者が傍受して正規サイトに入力します。これにより、攻撃者は2FAを通過してユーザーになりすまし、セッションを乗っ取ります。
  5. セッショントークンの取得と不正利用
    攻撃者は、正規のログインが完了した際に発行されるセッショントークンを取得し、そのトークンを使って正規サイトにアクセスします。セッショントークンを使うことで、攻撃者はユーザーの認証が完了した状態を再現できるため、ユーザーになりすましてシステムやアカウントにアクセスすることが可能です。

AiTM攻撃がもたらすリスク

AiTM攻撃による被害は非常に大きく、以下のようなリスクを伴います。

  1. アカウントの乗っ取り
    AiTM攻撃によってセッショントークンが盗まれると、攻撃者はユーザーの認証情報がなくてもシステムやアプリケーションにアクセスでき、ユーザーのアカウントを完全に乗っ取ることが可能です。
  2. 機密情報の漏洩
    攻撃者は、ユーザーのアカウントにアクセスして、個人情報や機密情報を盗み出すことができます。例えば、ビジネスメールの内容や保存されているファイル、連絡先情報などが漏洩する可能性があります。
  3. 不正操作やマルウェアの拡散
    攻撃者が乗っ取ったアカウントを利用して、他のユーザーにフィッシングリンクを送るなどの不正操作が可能です。これにより、二次被害として、他のアカウントやシステムにも影響が及ぶ可能性があります。
  4. 金銭的な損失
    クレジットカード情報や銀行アカウント情報が攻撃者によって盗まれることで、金銭的な被害が発生するリスクもあります。また、攻撃者がアカウントを悪用して詐欺行為を働くこともあります。

AiTM攻撃に対する防御方法

AiTM攻撃を防ぐためには、次のような対策が有効です。

1. WebAuthnやFIDO2による認証

WebAuthnやFIDO2などの最新の認証技術を活用することで、フィッシング対策が強化されます。これらの認証技術では、パスワードレス認証を利用するため、パスワードやセッショントークンを奪取されるリスクが低減します。

2. URLの正確な確認と警戒

フィッシングサイトの多くは正規のサイトと酷似しているため、ログイン前にはURLの正確性やサイトの証明書を確認する習慣を身につけることが重要です。不審なメールやリンクはクリックせず、正規のURLからアクセスすることを徹底しましょう。

3. 二要素認証(2FA)をアプリベースで行う

二要素認証をSMSやメールのコード入力方式から、認証アプリ(例:Google AuthenticatorやAuthy)に切り替えることで、セキュリティが向上します。認証アプリを使用すると、SMSやメールよりも傍受されるリスクが減少します。

4. セッショントークンの有効期限を短く設定

セッショントークンの有効期限を短くすることで、攻撃者がトークンを悪用できる時間が短縮されます。短い有効期限や頻繁なリフレッシュを行うことで、攻撃者による不正利用のリスクを減らすことが可能です。

5. 行動検知システムの導入

ユーザーの通常の行動パターンを学習し、異常な行動が検出された場合に警告を出すシステムを導入することで、アカウント乗っ取りを早期に発見できます。たとえば、不審な地域からのアクセスや、通常とは異なる時間帯のアクセスがあった場合にアラートを発する機能が有効です。

まとめ

AiTM(Adversary-in-The-Middle)攻撃は、認証手続きやセッショントークンを標的にした高度な中間者攻撃であり、フィッシングサイトを用いた巧妙な手口でユーザーのアカウントを乗っ取ることを目的としています。この攻撃手法は、二要素認証を利用しているシステムにも影響を及ぼすことがあるため、一般的な対策だけでは不十分です。

安全な認証方法やURLの確認、認証アプリの利用、セッショントークンの有効期限の設定、行動検知システムの導入など、多角的な対策を講じることが重要です。これにより、AiTM攻撃からの被害を防ぎ、デジタル環境での安全を確保することができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。