AiTM攻撃とは？ 10分でわかりやすく解説

UnsplashのEd Hardieが撮影した写真      

AiTM（Adversary-in-the-Middle）攻撃は、ユーザーと正規サイトの間に攻撃者が入り込み、ログイン手続きを「その場で中継」してセッションを乗っ取るフィッシングの高度版です。多要素認証（MFA）を導入していても、認証後に発行されるセッションCookieやトークンを奪われると、攻撃者は正規ユーザーとして操作できてしまいます。この記事では、AiTM攻撃の仕組み、典型的な手口、そして実務で効く対策を整理します。

AiTM攻撃とは？

AiTM攻撃とは、Adversary-in-the-Middle（中間者）という名前のとおり、攻撃者がユーザーと正規サイトの通信経路に割り込み、認証情報やセッションを奪う攻撃です。一般的な「中間者攻撃（MITM）」が通信の盗聴・改ざんを指すのに対し、近年のAiTMはフィッシングサイト（逆プロキシ型）でログイン処理を中継し、認証後のセッションを乗っ取る点が特徴です。

AiTM攻撃で何が起きるか

• ユーザーは「本物そっくりの偽サイト」に誘導され、ID・パスワードを入力する
• 偽サイトが入力内容を正規サイトへ中継し、正規サイト側で認証が進む
• ユーザーがMFA（ワンタイムパスワード、プッシュ承認など）を通すと、正規サイトはセッションを確立する
• 攻撃者はセッションCookieや認証トークンを入手し、なりすまし操作を行う

AiTM攻撃の仕組み

AiTM攻撃の典型的な流れは、以下の通りです。

1. 攻撃者は、正規のWebサイトを模したフィッシングサイト（中継用の仕組みを含む）を用意します。
2. ユーザーは、フィッシングサイトにアクセスし、ログイン情報を入力します。
3. フィッシングサイトは、ユーザーの入力情報を正規のWebサイトに送信します。
4. 正規のWebサイトは、多要素認証のプロセスを開始します。
5. ユーザーは、SMSなどで受け取った認証コードをフィッシングサイトに入力します。
6. フィッシングサイトは、認証コードを正規のWebサイトに送信し、認証を通過させます。
7. 正規のWebサイトは、認証済みのセッションを開始し、Cookieやトークンを発行します。
8. フィッシングサイトは、発行されたセッションCookieやトークンを奪い取ります。
9. 攻撃者は、奪ったCookieやトークンを使って、正規ユーザーになりすましてログイン状態を再現します。

このように、AiTM攻撃では多要素認証そのものが「突破」されたように見えますが、実際にはユーザーが正規サイトに対して行った認証結果（セッション）を横取りされている点が本質です。

AiTM攻撃が狙うもの

AiTM攻撃の主な目的は、以下の情報を不正に入手することです。

• ユーザーのログインID・パスワード
• 多要素認証の認証情報（ワンタイムパスワード、プッシュ承認など）
• 認証後のセッションCookieやトークン
• 個人情報や機密情報

特に、セッションCookieやトークンを奪われると、攻撃者は正規ユーザーのログイン状態を再現できるため、MFAを回避したのと同等の被害になり得ます。

AiTM攻撃が成立しやすい場面

• SMSワンタイムパスワードなど、入力コード型のMFAを使っている
• ユーザーがURLや証明書の確認を習慣化できていない
• 認証後のセッションが長時間有効、または異常なセッションの検知・失効が弱い
• 特権アカウント（管理者）に対する追加防御が薄い

AiTM攻撃の手口

AiTM攻撃は、巧妙に仕組まれた一連の手口により、認証を通過した直後の「ログイン状態」を奪います。ここでは代表的な手口を解説します。

フィッシングサイトの作成

AiTM攻撃の第一段階は、正規のWebサイトを模したフィッシングサイトを用意することです。攻撃者はデザインやURLを巧妙に偽装し、ユーザーを騙してフィッシングサイトへ誘導します。ログイン画面だけでなく、MFAの入力画面や画面遷移まで再現されるため、見た目だけで見抜くことは難しくなっています。

セッションCookieやトークンの窃取

ユーザーがMFAを通過すると、正規のWebサイトはセッションを確立し、セッションCookieやトークンを発行します。AiTMでは、これらがユーザー端末に渡る直前・直後のタイミングで攻撃者側に渡ってしまいます。結果として攻撃者は「認証済みの状態」を自分の環境に移し替えられるため、ID・パスワードだけを盗むフィッシングより被害が深刻になりがちです。

正規ユーザーへのなりすまし

攻撃者は奪ったセッション情報を使い、正規サイトへアクセスします。サイト側は有効なセッションとして扱うため、正規ユーザーと同等の権限で操作される恐れがあります。メール転送ルールの追加、クラウド上のデータ取得、追加の認証要素の変更など、後戻りが難しい被害につながるケースもあります。

「多要素認証の回避」に見える理由

AiTMはMFAの仕組み自体を壊すのではなく、ユーザーが正規サイトに対して行った認証を中継し、その成果物であるセッションを奪います。つまり、MFAが動いていてもフィッシングに強い方式を選ばない限り、攻撃者にとっては回避可能な場合があります。

AiTM攻撃への対策

AiTM攻撃は「フィッシング対策」と「セッション防御」をセットで考える必要があります。ここでは実務で効果の出やすい対策を整理します。

フィッシング耐性の高い認証方式の採用

• FIDO2 / WebAuthnなど、フィッシング耐性の高い方式を優先する
• 可能であれば、管理者・重要業務から段階的に適用範囲を広げる

入力コード型MFA（SMS、TOTPなど）は導入しやすい一方、AiTMでは中継されやすい傾向があります。「フィッシングに強いMFA」をどこから適用するかが、現実的な打ち手になります。

セッション管理の強化

• セッションタイムアウトの短縮、長期セッションの見直し
• 重要操作の前に再認証を要求する（ステップアップ認証）
• 異常検知時のセッション強制失効（ログアウト）を自動化する
• 端末・場所・IPなどの条件でセッションを評価する（条件付きアクセス）

AiTMではセッションが奪われるため、「奪われても使い続けられない状態」を作ることが要点です。

フィッシング対策の導入と運用

• URLフィルタリングやDNSセキュリティなどで不正サイトへの到達を減らす
• メール経由の誘導を想定し、なりすまし対策（SPF/DKIM/DMARC）の運用を整える
• 従業員教育は「見分け方」だけでなく「迷ったときの手順（報告・遮断）」まで含める

不正アクセス検知の高度化

AiTM対策では「侵入をゼロにする」より、侵入しても早く気づいて止める設計が重要です。

まとめ

AiTM攻撃は、フィッシングサイトでログイン手続きを中継し、認証後のセッションCookieやトークンを奪ってなりすます攻撃です。多要素認証を導入していても、入力コード型のMFAや長時間有効なセッション運用では被害につながる可能性があります。対策は、フィッシング耐性の高い認証方式の採用、セッション管理の強化、到達防止（フィルタリング）と検知・即時失効まで含めた多層防御で進めることが重要です。

よくある質問（FAQ）

Q. AiTM攻撃は「中間者攻撃（MITM）」と同じですか？

同じ概念を含みますが、近年はフィッシング（逆プロキシ）で認証を中継し、セッションを奪う手口を指すことが多いです。

Q. 多要素認証を入れていればAiTM攻撃は防げますか？

防げない場合があります。AiTMは認証結果（セッション）を奪うため、方式と運用次第で回避されます。

Q. SMSのワンタイムパスワードは危険ですか？

導入価値はありますが、AiTMでは中継されやすい方式です。重要アカウントはフィッシング耐性の高い方式を優先します。

Q. セッションCookieを奪われると何が起きますか？

攻撃者がログイン済みの状態を再現でき、正規ユーザーと同等の権限で操作される恐れがあります。

Q. フィッシングサイトはURLを見れば判別できますか？

判別が難しいケースが増えています。到達防止と、迷ったときの報告・遮断手順まで含めた運用が必要です。

Q. 一番効く対策は何ですか？

フィッシング耐性の高い認証方式（例：FIDO2/WebAuthn）の採用が、根本対策として効果的です。

Q. 端末や場所でログインを制限するのは有効ですか？

有効です。条件付きアクセスやリスクベース認証で、奪われたセッションの悪用を難しくできます。

Q. セッションタイムアウトを短くすると使い勝手が落ちませんか？

落ちます。重要操作だけ再認証を要求するなど、業務影響とリスクのバランス設計が必要です。

Q. AiTM攻撃は検知できますか？

可能です。ログイン直後の異常挙動や、端末・地域の不一致などを監視し、セッション失効につなげます。

Q. インシデント時に最初にやるべきことは何ですか？

該当アカウントのセッション失効とパスワード変更、転送ルールなど不正設定の確認、影響範囲のログ調査を優先します。