← 攻撃手法一覧
盗聴・改ざんネットワーク攻撃インターネット黎明期〜現在

中間者攻撃(MITM)とは

中間者攻撃(Man-in-the-Middle Attack、MITM)は攻撃者がユーザーと サーバーの通信の間に割り込み、通信を盗聴・改ざんする攻撃です。 被害者は正規のサーバーと通信していると思っていますが、 実際にはすべての通信が攻撃者を経由しています。 フリーWi-Fiや暗号化されていない通信が主な標的です。

目次
1. 中間者攻撃の概要2. 攻撃の仕組み3. 攻撃の種類4. 被害事例5. 攻撃の検知方法6. 対策・予防方法

1. 中間者攻撃の概要

MITMの本質は「なりすまし」です。攻撃者はユーザーに対してはサーバーのふりをし、 サーバーに対してはユーザーのふりをすることで、両者の間の通信をすべて傍受します。

認証情報の窃取
HTTPSでないサイトのログイン情報・パスワードを盗み見る
通信の改ざん
Webページの内容を書き換え、マルウェアを埋め込んだり偽の情報を表示したりする
セッションハイジャック
盗んだセッションCookieを使い、被害者のアカウントを乗っ取る
SSL剥奪(SSLストリッピング)
HTTPSをHTTPにダウングレードさせ、暗号化されていない通信を盗聴する

2. 攻撃の仕組み

フリーWi-Fiを使ったMITM攻撃を例に説明します。

STEP 1
偽のアクセスポイントの設置
攻撃者がカフェなどで「Free_WiFi」などの名前の偽のWi-Fiアクセスポイントを設置する
STEP 2
被害者が接続
被害者が偽のWi-Fiに接続する。正規のWi-Fiに見えるため気づかない
STEP 3
通信の傍受開始
被害者のすべての通信が攻撃者のデバイスを経由するようになる
STEP 4
SSLストリッピング(HTTPSの無効化)
攻撃者がHTTPSをHTTPにダウングレードさせ、暗号化を解除する
STEP 5
情報の窃取・改ざん
ログイン情報・クレジットカード・メッセージなどを盗み見る。必要に応じてWebページの内容を改ざんする

3. 攻撃の種類

ARPスプーフィングLAN内
ARPプロトコルの脆弱性を悪用してネットワーク内のトラフィックを攻撃者に向ける。同一ネットワーク内での攻撃に使われる最も一般的な手法。
DNSスプーフィング(DNSポイズニング)インターネット全体
DNSキャッシュに偽の情報を注入し、正規ドメインへのアクセスを偽サイトに誘導する。大規模な影響を与えられる。
偽アクセスポイント(Evil Twin)Wi-Fi環境
正規のWi-Fiと同じ名前の偽のアクセスポイントを設置する。ユーザーが接続すると全通信が盗聴される。
SSLストリッピングHTTP/HTTPS
HTTPSをHTTPにダウングレードさせて暗号化を解除する。HSTSが設定されていないサイトに有効。
BGPハイジャックインターネット基盤
インターネットのルーティングプロトコルBGPを悪用して大規模なトラフィックをリダイレクトする。国家レベルの攻撃者が使用する。

4. 被害事例

2010年Firesheep(ツール公開)
FirefoxのプラグインFiresheepが公開され、同一Wi-Fiネットワーク上のFacebook・TwitterなどのセッションCookieを簡単に盗める事実が広く知られた。HTTPSの普及を大きく加速させた。
2013年NSA・GCHQ(大規模盗聴)
Snowdenのリークにより、米英の諜報機関がインターネットの根幹インフラでMITM的な大規模盗聴を行っていた事実が明らかになった。
2017年KRACKs(Wi-Fi WPA2の脆弱性)
WPA2プロトコルの脆弱性が発見され、MITMによりWi-Fi通信が盗聴できることが判明。世界中のWi-Fi機器にパッチ適用が急がれた。
継続的フリーWi-Fiを使った攻撃
空港・カフェ・ホテルなどのフリーWi-Fiを悪用したMITM攻撃が世界中で継続的に発生している。VPNなしでのフリーWi-Fi使用は現在も大きなリスクがある。

5. 攻撃の検知方法

SSL証明書の警告
ブラウザが「この接続は安全ではありません」と表示した場合、MITM攻撃の可能性がある。証明書の詳細を確認する。
HTTPSが突然HTTPになる
アドレスバーの鍵マークが消えたりhttpsがhttpになった場合、SSLストリッピングが行われている可能性がある。
ネットワーク遅延の増加
通信が攻撃者のデバイスを経由することで、通常より遅延が大きくなる場合がある。
ARPテーブルの異常
同じIPアドレスに対して複数のMACアドレスが存在する場合、ARPスプーフィングの可能性がある(技術的な確認方法)。

6. 対策・予防方法

最重要フリーWi-FiではVPNを必ず使用する。すべての通信が暗号化され盗聴を防げる
最重要HTTPSのサイトのみを使用する。アドレスバーの鍵マークを常に確認する
推奨証明書の警告が表示された場合は絶対に無視しない
推奨公共のWi-Fiでは銀行・決済などの重要なサービスを使用しない
推奨モバイルデータ(4G/5G)を使用する。キャリアネットワークはWi-Fiより安全
サーバー向けHSTSを設定してHTTPSを強制し、SSLストリッピングを防ぐ
サーバー向け証明書ピンニング(Certificate Pinning)を実装して偽の証明書を拒否する
サーバー向け動的ARPインスペクション(DAI)でARPスプーフィングを防ぐ

まとめ

中間者攻撃はフリーWi-Fiが普及した現代において特に身近な脅威です。 最も効果的な対策はVPNの使用とHTTPSの確認です。 また、サーバー側ではHSTSの設定とTLS証明書の適切な管理が重要です。 「この接続は安全ではありません」という警告を絶対に無視しないことが MITM攻撃から身を守る基本です。

参考・関連リンク

OWASP - Man-in-the-Middle AttackIPA - 公衆無線LANの危険性MDN - HTTP Strict Transport Security (HSTS)