中間者攻撃 ちゅうかんしゃこうげき
MitM攻撃盗聴なりすまし暗号化TLSARP spoofing
中間者攻撃について教えて
簡単に言うとこんな感じ!
AさんとBさんがやり取りしているのに、こっそり間に入って会話を盗み見たり書き換えたりする攻撃だよ!手紙を勝手に開封して中身を読んで封をし直して届ける”悪い郵便屋さん”のイメージがぴったり!
中間者攻撃とは
中間者攻撃(Man-in-the-Middle Attack、MitM攻撃)とは、通信している2者の間に攻撃者が割り込み、双方が気づかないまま通信内容を盗み見たり、改ざんしたりするサイバー攻撃の手法です。AさんはBさんと直接話しているつもりでも、実際にはすべての通信が攻撃者を経由しています。
この攻撃の最も恐ろしい点は「気づきにくい」ことです。Aさんから見ればBさんのふりをした攻撃者が、Bさんから見ればAさんのふりをした攻撃者が応答するため、正常に通信できているように見えてしまいます。ログイン情報、クレジットカード番号、企業の機密データなどが根こそぎ盗まれるリスクがあります。
企業にとっては、社員が外出先の公衆Wi-Fiに接続したときや、フィッシングサイトへ誘導されたときに被害を受けやすく、情報漏洩・データ改ざん・不正送金などの深刻な損害につながります。
中間者攻撃の仕組みと主な手口
攻撃者は「傍受」と「なりすまし」を組み合わせて通信の中間に入り込みます。
| フェーズ | 内容 |
|---|---|
| ①傍受(Interception) | 攻撃者がターゲットの通信経路に割り込む |
| ②復号(Decryption) | 暗号化された通信を解読しようとする |
| ③改ざん・盗聴 | 内容を読み取ったり、偽の情報に書き換えたりする |
| ④再暗号化・転送 | 相手にバレないよう正規の形に戻して送り届ける |
主な攻撃手口
- ARPスプーフィング — ローカルネットワーク内で偽のARP(アドレス解決プロトコル)応答を送り、通信を自分のPCに誘導する。社内LANで特に多い
- DNSスプーフィング — ドメイン名に対応するIPアドレスを偽造し、攻撃者が用意した偽サイトへ誘導する
- SSLストリッピング — HTTPSの暗号化通信を強制的にHTTP(非暗号化)に落として盗聴しやすくする
- 偽Wi-Fiアクセスポイント — カフェや空港で正規のWi-Fiに見せかけた偽APを立て、接続した全通信を傍受する
- BGPハイジャック — インターネット上のルーティング情報(BGP経路)を書き換え、大規模な通信の迂回を引き起こす
覚え方
「MitM = 間に入るトラブルメーカー」 MとMの間に “in the Middle” のiがある、と覚えるとスペルも混乱しません!
歴史と背景
- 1990年代 — インターネット黎明期。ARPスプーフィングなど初歩的なMitM攻撃が研究者により実証される
- 2000年代前半 — 無線LAN(Wi-Fi)の普及に伴い、偽アクセスポイントによる攻撃が急増
- 2009年 — セキュリティ研究者 Moxie Marlinspike が SSLストリッピングツールを公開し、HTTPSへの誤信が問題視される
- 2010年 — Firesheep(Firefoxアドオン)が登場。公衆Wi-Fiでのセッション乗っ取りがいかに容易かを世に知らしめる
- 2014年 — OpenSSLの「Heartbleed」脆弱性発覚。TLS通信の信頼性が大きく揺らぐ
- 2015年以降 — Let’s Encryptの登場でHTTPS化が普及。MitM対策としてTLS 1.3への移行が加速
- 現在 — クラウドやゼロトラスト普及により、内部ネットワークであっても暗号化・認証を前提とする設計が標準に
MitM攻撃の対策と関連技術
攻撃を防ぐには「暗号化」「認証」「検知」の3つが柱です。
代表的な対策の詳細
| 対策 | 概要 | 効果のある攻撃手口 |
|---|---|---|
| TLS 1.3の導入 | 通信を強力に暗号化。傍受しても内容が読めない | SSLストリッピング・盗聴全般 |
| HSTS(HTTP Strict Transport Security) | ブラウザにHTTPS強制を記憶させる | SSLストリッピング |
| 電子証明書の検証 | 接続先が本物かCAが保証する | なりすまし・偽サイト |
| 多要素認証(MFA) | パスワードを盗まれても第2の認証で防ぐ | セッション乗っ取り |
| VPN | 通信全体を暗号化トンネルで保護 | 公衆Wi-Fi盗聴 |
| ARPスプーフィング検知 | 動的ARPインスペクション(DAI)で偽ARP排除 | ARPスプーフィング |
| ゼロトラストアーキテクチャ | 社内外問わずすべての通信を認証・検証 | 内部ネットワーク攻撃 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 8446 | TLS 1.3の仕様。MitM対策の中核となる最新暗号化プロトコル |
| RFC 6797 | HTTP Strict Transport Security(HSTS)。SSLストリッピング対策 |
| RFC 7469 | Public Key Pinning(HPKP)。証明書ピニングの仕様 |
| RFC 6698 | DANE(DNS-Based Authentication)。DNSを使った証明書検証 |
| RFC 9110 | HTTP Semantics。HTTPSの正しい利用の基盤となる規格 |
関連用語
- TLS(Transport Layer Security) — 通信の暗号化プロトコル。MitM攻撃の最重要対策技術
- フィッシング攻撃 — 偽サイトへ誘導してMitMと組み合わせる詐欺手法
- VPN(Virtual Private Network) — 通信を暗号化トンネルで保護しMitMを防ぐ技術
- 電子証明書・PKI — 通信相手の正当性を確認する仕組み。MitMのなりすましを防ぐ
- 多要素認証(MFA) — パスワード盗取後の不正ログインを防ぐ認証強化技術
- ゼロトラストセキュリティ — すべての通信を検証する設計思想。MitM対策の現代的アプローチ
- ARP(Address Resolution Protocol) — ARPスプーフィング攻撃の標的となるプロトコル
- DNS(Domain Name System) — DNSスプーフィング攻撃で悪用されるアドレス解決の仕組み