トレンド解説

AiTM攻撃とは? 10分でわかりやすく解説

アイキャッチ
目次

UnsplashEd Hardieが撮影した写真      

近年、多要素認証を導入した企業が狙われる新たな脅威、AiTM攻撃が急増しています。この記事では、AiTM攻撃の仕組みや手口、そして効果的な対策方法について詳しく解説します。AiTM攻撃の理解を深め、セキュリティ対策を強化することで、大切な情報資産を守るための知識が身につくでしょう。

AiTM攻撃とは?

AiTM攻撃とは、Adversary in the Middleの略称で、「中間者攻撃」を意味します。この攻撃手法では、攻撃者が正規ユーザーとWebサイトの間に入り込み、通信を傍受・改ざんすることで、機密情報を盗み出します。特に、多要素認証を突破するために、ユーザーの認証情報を巧みに詐取するのが特徴です。

AiTM攻撃の仕組み

AiTM攻撃の典型的な流れは、以下の通りです。

  1. 攻撃者は、正規のWebサイトを模したフィッシングサイトを用意します。
  2. ユーザーは、フィッシングサイトにアクセスし、ログイン情報を入力します。
  3. フィッシングサイトは、ユーザーの入力情報を正規のWebサイトに送信します。
  4. 正規のWebサイトは、多要素認証のプロセスを開始します。
  5. ユーザーは、SMSなどで受け取った認証コードをフィッシングサイトに入力します。
  6. フィッシングサイトは、認証コードを正規のWebサイトに送信し、認証を通過します。
  7. 正規のWebサイトは、認証済みのセッションを開始し、Cookieを発行します。
  8. フィッシングサイトは、発行されたセッションCookieを詐取します。
  9. 攻撃者は、詐取したセッションCookieを使って、正規ユーザーになりすましてWebサイトにログインします。

このように、AiTM攻撃では、多要素認証自体は正常に機能していますが、認証後のセッションが攻撃者に乗っ取られてしまうのです。

AiTM攻撃が狙うもの

AiTM攻撃の主な目的は、以下の情報を不正に入手することです。

  • ユーザーのログインID・パスワード
  • 多要素認証の認証情報(ワンタイムパスワードなど)
  • 認証後のセッションCookie
  • 個人情報や機密情報

特に、セッションCookieを詐取されると、攻撃者は正規ユーザーと同等の権限を獲得することが可能になります。その結果、なりすましログインによる不正アクセスや、情報漏洩などの被害につながる恐れがあります。

AiTM攻撃の脅威

AiTM攻撃は、多要素認証という高度なセキュリティ対策を突破できてしまう点で、非常に脅威度が高いと言えます。実際に、AiTM攻撃による被害は増加傾向にあり、企業は早急な対策が求められています。

AiTM攻撃に備えるためには、以下のような施策を検討することをお勧めします。

  • フィッシング対策の強化(従業員教育、フィッシング検知システムの導入など)
  • セッション管理の高度化(セッションタイムアウトの短縮、不要なセッションの破棄など)
  • リスクベース認証の採用(ログイン時の端末情報やIPアドレスを分析し、不審なアクセスを検知)
  • 監視・ログ分析の強化(不審なアクセスパターンを検知し、速やかに対処)

AiTM攻撃は、巧妙化・高度化する一方です。セキュリティ対策の見直しと強化を継続的に進め、大切な情報資産を守っていくことが重要だと言えるでしょう。

AiTM攻撃の手口

AiTM攻撃は、巧妙に仕組まれた一連の手口により、多要素認証を突破し、セッションCookieを不正に入手します。ここでは、AiTM攻撃の代表的な手口について解説します。

フィッシングサイトの作成

AiTM攻撃の第一段階は、正規のWebサイトを模したフィッシングサイトを用意することです。攻撃者は、デザインや URLを巧妙に偽装し、ユーザーを騙してフィッシングサイトへ誘導します。フィッシングサイトは、ログイン画面や多要素認証の画面も再現され、一見すると本物と区別がつきません。ユーザーは、不審に思わずにログイン情報を入力してしまう可能性があります。

セッションCookieの窃取

フィッシングサイトにログイン情報を入力したユーザーは、次に多要素認証のプロセスに進みます。SMSなどで受け取った認証コードを入力すると、フィッシングサイトはその情報を正規のWebサイトに送信します。正規のWebサイトは、認証コードを検証し、問題がなければ認証済みのセッションを開始し、セッションCookieを発行します。しかし、このセッションCookieは、フィッシングサイトに送られてしまいます。攻撃者は、このセッションCookieを詐取することで、正規ユーザーになりすますことが可能になります。

正規ユーザーへのなりすまし

攻撃者は、詐取したセッションCookieを使って、正規のWebサイトにアクセスします。Webサイト側は、セッションCookieが有効であると判断し、攻撃者を正規ユーザーとして扱ってしまいます。攻撃者は、正規ユーザーと同等の権限を得ることができ、機密情報の閲覧や不正な操作が可能になります。セッションCookieが有効である間は、攻撃者はいつでもなりすましログインができてしまうのです。

多要素認証の回避

通常、多要素認証は、ログインIDとパスワードに加え、SMSや生体認証などの追加の認証要素を用いることで、セキュリティを強化します。しかし、AiTM攻撃では、攻撃者がユーザーの認証プロセスに介入し、多要素認証を正常に通過したセッションCookieを詐取してしまいます。そのため、攻撃者は多要素認証を回避できてしまうのです。多要素認証を導入していても、AiTM攻撃に対しては十分に注意が必要です。

以上のように、AiTM攻撃は、巧妙にフィッシングサイトを作成し、セッションCookieを詐取することで、多要素認証を突破します。企業には、フィッシング対策の強化や、セッション管理の高度化など、多角的なセキュリティ対策が求められます。AiTM攻撃の手口を理解し、適切な対策を講じることが、情報資産を守るための鍵となるでしょう。

AiTM攻撃への対策

企業は適切な対策を講じることで、AiTM攻撃のリスクを軽減することができます。ここでは、AiTM攻撃への効果的な対策について解説します。

セッション管理の強化

AiTM攻撃では、セッションCookieを詐取されることで、攻撃者に正規ユーザーになりすますことが可能になります。そのため、セッション管理を強化し、セッションCookieの保護を徹底することが重要です。具体的には、以下のような施策が考えられます。

  • セッションタイムアウトの短縮化
  • 不要なセッションの速やかな破棄
  • セッションCookieの適切な暗号化
  • セッションCookieの機密性の確保

これらの施策により、たとえセッションCookieが詐取されても、攻撃者が長時間不正アクセスを継続することを防げます。

セキュリティ教育の徹底

AiTM攻撃を防ぐためには、従業員のセキュリティ意識の向上が欠かせません。フィッシング攻撃の手口や、怪しいメールの見分け方など、セキュリティ教育を定期的に実施し、従業員のリテラシーを高めることが有効です。また、セキュリティポリシーを明確に定め、従業員に徹底することも重要です。

セキュリティ教育の具体的な内容としては、以下のようなものが考えられます。

  • フィッシング攻撃の事例と対策
  • 不審なメールの見分け方
  • 安全なパスワードの管理方法
  • 情報セキュリティポリシーの理解と順守

従業員一人ひとりがセキュリティの重要性を認識し、適切な行動をとることが、AiTM攻撃の防止につながります。

フィッシング対策の導入

AiTM攻撃は、巧妙に作成されたフィッシングサイトを起点として行われます。そのため、フィッシングサイトを検知し、アクセスを遮断する対策が欠かせません。代表的なフィッシング対策としては、以下のようなものがあります。

  • フィッシングメール対策ソリューションの導入
  • URLフィルタリングによる不正サイトへのアクセス防止
  • ブラウザ拡張機能によるフィッシングサイトの警告表示
  • SPFレコード・DKIMによるなりすましメール対策

これらのソリューションを適切に組み合わせることで、フィッシングサイトへのアクセスを未然に防ぐことができるでしょう。

不正アクセス検知の高度化

AiTM攻撃による不正アクセスを検知するためには、ログの分析や挙動の監視など、高度な不正アクセス検知の仕組みが必要です。AIを活用した分析により、通常とは異なるアクセスパターンを検知し、速やかに対処することが重要です。

不正アクセス検知の具体的な方法としては、以下のようなものが考えられます。

方法概要
ログ分析ユーザーのアクセスログを分析し、不審な操作や通信を検知する
リスクベース認証ログイン時の様々な要素(端末情報、位置情報など)から、リスクスコアを算出し、不正アクセスの可能性を判定する
機械学習による異常検知AIを活用して、ユーザーの通常の行動パターンを学習し、逸脱した挙動を検知する

これらの方法を導入することで、AiTM攻撃による不正アクセスを早期に発見し、被害を最小限に抑えることができるでしょう。

AiTM攻撃は、急速に巧妙化・高度化しています。セキュリティ対策も、これに合わせて進化させていく必要があります。本記事で解説した対策を参考に、自社のセキュリティ体制を見直し、AiTM攻撃に備えることを推奨します。

まとめ

AiTM攻撃は、多要素認証を突破し、セッションCookieを詐取することで正規ユーザーになりすます巧妙な手口です。フィッシングサイトの作成やセッションCookieの窃取など、AiTM攻撃の仕組みを理解し、セッション管理の強化やフィッシング対策の導入、不正アクセス検知の高度化といった多角的なセキュリティ対策を講じることが重要です。セキュリティ教育の徹底や専門家との連携も欠かせません。AiTM攻撃は進化し続ける脅威ですが、適切な対策を継続的に行うことで、リスクを最小限に抑えることができるでしょう。

記事を書いた人

ソリトンシステムズ・マーケティングチーム