中間者攻撃(MiTM攻撃)とは？ わかりやすく10分で解説

はじめに

中間者攻撃（MiTM：Man-in-the-Middle attack）は、利用者と通信相手の間に攻撃者が入り込み、通信内容の傍受や改ざん、認証情報の取得を行う攻撃です。利用者には通常どおり通信できているように見えるため、異常に気づきにくい点が問題になります。公共Wi-Fi、DNSの改ざん、証明書検証の不備、古い暗号設定、偽のアクセスポイントなどが攻撃の起点になります。

対策では、通信をTLSで保護するだけでなく、証明書警告を無視しない運用、HSTS、DNSやネットワーク機器の保護、OSとアプリの更新、耐フィッシング性を備えた多要素認証を組み合わせます。個人利用でも企業利用でも、「通信経路を信頼しすぎない」設計が被害を抑える前提になります。

中間者攻撃とは

中間者攻撃の定義

中間者攻撃とは、通信を行う2者の間に第三者が位置し、通信データを傍受または改ざんする攻撃です。英語ではMan-in-the-Middle attack、略してMiTMまたはMITMと表記されます。

攻撃者は、利用者には正規の相手と通信しているように見せ、通信相手には正規の利用者から接続されているように見せます。暗号化や相手認証が不十分な場合、攻撃者は通信内容を読み取ったり、送信内容を書き換えたり、ID・パスワードなどの認証情報を取得したりできます。

中間者攻撃が成立する条件

中間者攻撃は、攻撃者が通信経路または接続先の確認過程に介入できると成立しやすくなります。代表的な条件は次の通りです。

• 暗号化されていない通信：HTTPなど、通信内容が平文で送られる通信では、経路上で内容を読み取られる可能性があります。
• 証明書検証の不備：証明書警告を無視する、証明書の検証をアプリ側で正しく行わない、といった状態では偽サーバーへ接続する危険があります。
• 不正なネットワークへの接続：偽のWi-Fiアクセスポイントや改ざんされたルーターに接続すると、通信を中継・監視される場合があります。
• 名前解決の改ざん：DNS設定が改ざんされると、正しいドメイン名を入力しても偽サイトへ誘導される可能性があります。
• 古い暗号設定：非推奨のプロトコルや弱い暗号スイートを許可していると、通信の安全性が下がります。

典型的な攻撃の流れ

1. 攻撃者が偽Wi-Fi、DNS改ざん、ARPスプーフィング、偽サイトなどで通信経路へ介入する
2. 利用者が正規サービスに接続しているつもりでログインや送信操作を行う
3. 攻撃者が通信内容を傍受し、必要に応じて改ざんする
4. 取得した認証情報やセッション情報を使い、不正ログイン、情報窃取、送金先変更、マルウェア配布などを行う

通信が利用者から見ると成立しているため、画面上の違和感が少ない場合があります。中間者攻撃への対策では、利用者の注意だけに頼らず、暗号化、証明書検証、ネットワーク保護、認証強化を組み合わせます。

中間者攻撃で起こる被害

認証情報や個人情報の漏えい

中間者攻撃では、ID、パスワード、ワンタイムコード、クレジットカード情報、個人情報、業務システムの入力内容が狙われます。攻撃者が認証情報を取得すると、不正ログイン、アカウント乗っ取り、メール転送設定の変更、社内システムへの侵入につながります。

特に、IDとパスワードだけに依存しているシステムでは、取得された情報がそのまま悪用される可能性があります。重要なサービスでは、耐フィッシング性を考慮した耐フィッシング多要素認証やアクセス元制御を組み合わせます。

通信内容の改ざん

攻撃者は、通信内容を読むだけでなく、内容を書き換える場合があります。たとえば、送金先口座、請求書の振込先、ダウンロードファイル、Webページ上のリンク、APIリクエストの内容を変更されると、利用者やシステムが意図しない処理を実行する可能性があります。

企業環境では、業務データや設定変更リクエストが改ざんされると、誤発注、情報漏えい、業務停止、取引先への誤通知につながります。通信の暗号化に加え、重要操作の再認証、改ざん検知、ログ監査を組み合わせます。

マルウェア感染と二次攻撃

中間者攻撃では、正規ファイルに見せかけた不正ファイルを配布したり、ダウンロード先を差し替えたりする攻撃も考えられます。利用者が不正ファイルを実行すると、マルウェア感染、情報窃取、遠隔操作、ランサムウェア被害につながります。

ソフトウェア配布では、HTTPSだけでなく、署名検証、ハッシュ確認、公式配布元の確認、端末保護を組み合わせます。企業では、アプリケーション制御やEDRによって、不審な実行や通信を検知できる状態にします。

中間者攻撃が発生しやすい場面

公共Wi-Fiや偽アクセスポイント

カフェ、空港、ホテル、駅などの公共Wi-Fiでは、不特定多数の端末が同じネットワークを利用します。攻撃者が同一ネットワークにいる場合、通信経路への介入や偽アクセスポイントの設置が行われる可能性があります。

偽アクセスポイントは、正規のSSIDに似せた名前で利用者を接続させます。利用者が偽のネットワークに接続すると、攻撃者は通信の中継点として振る舞える場合があります。重要操作では、公式アプリやブックマークからアクセスし、証明書警告が出た場合は操作を中断します。

DNS改ざんやルーター侵害

DNSやルーターの設定が改ざんされると、利用者が正しいURLを入力しても、攻撃者の用意した偽サイトへ誘導されることがあります。家庭用ルーター、社内DNS、クラウドDNS、レジストラアカウントが侵害されると、複数利用者に影響が及びます。

対策では、ルーターやDNS管理画面の認証を強化し、初期パスワードを使わず、ファームウェアを更新します。企業では、DNSレコード変更の承認、監査ログ、変更通知、DNSSECの適用可否、DNSフィルタリングを確認します。

証明書検証の不備

TLSでは、通信先が正規のサーバーであることを証明書で確認します。利用者が証明書警告を無視したり、アプリケーションが証明書を正しく検証しなかったりすると、偽サーバーとの通信を正規通信として扱う危険があります。

企業の社内システムやモバイルアプリでは、証明書エラー時に接続を継続しない設計にします。利用者には、証明書警告が表示された場合の連絡先と対応手順を明示します。

古い暗号方式や未更新のソフトウェア

OS、ブラウザ、VPNクライアント、業務アプリ、ネットワーク機器が古いままだと、既知の脆弱性や古い暗号設定を悪用される可能性があります。TLSの古いバージョンや弱い暗号スイートが残っている場合、通信保護の水準が下がります。

セキュリティ更新、暗号設定の棚卸し、不要なプロトコルの無効化、証明書管理、脆弱性診断を継続します。更新が難しいシステムは、ネットワーク分離、アクセス元制限、監視強化で補います。

中間者攻撃への対策

TLSとHTTPSを正しく使う

Webサービスでは、HTTPSを標準にし、TLS設定を最新の推奨水準へ合わせます。HTTPでアクセスされた場合はHTTPSへ転送し、HSTSを設定して、ブラウザがHTTP接続へ戻らないようにします。

• 有効期限切れや不一致の証明書を放置しない
• 証明書警告が出た場合に接続を継続しない
• 古いTLSバージョンや弱い暗号スイートを無効化する
• HSTSを適用し、HTTPへのダウングレードを抑える
• 外部公開サービスのTLS設定を定期的に確認する

信頼できないネットワークで重要操作を避ける

公共Wi-Fiや不明なネットワークでは、管理画面へのログイン、送金、個人情報入力、業務システム操作を避けます。やむを得ず利用する場合は、公式アプリ、ブックマーク済みURL、証明書確認、端末の自動接続無効化を徹底します。

VPNは、端末からVPNゲートウェイまでの通信を暗号化し、公共ネットワーク上での盗聴や改ざんリスクを下げる手段になります。ただし、VPNは接続先サイトの偽装やフィッシングを自動的に防ぐものではありません。VPN利用時でも、ドメイン確認、証明書警告への対応、認証強化は必要です。

DNSとネットワーク機器を保護する

DNSやネットワーク機器が侵害されると、利用者が正しいURLを入力しても偽サイトへ誘導される可能性があります。企業では、DNS管理者を限定し、変更申請、承認、監査ログ、変更通知を整備します。

• ルーター、DNS、VPN機器の初期パスワードを変更する
• 管理画面をインターネットへ直接公開しない
• 管理者アカウントに多要素認証を適用する
• DNSレコードの変更履歴を監査する
• 不審な名前解決や未知の転送先を監視する

耐フィッシング性を備えた認証を使う

多要素認証は、パスワード漏えい後の悪用を抑える対策になります。ただし、SMSコードや一部のワンタイムパスワードは、偽サイトに入力させられると攻撃者に中継される場合があります。

クラウドサービスや業務システムでは、FIDO2/WebAuthn、証明書ベース認証、端末に紐づいた認証器など、検証者のなりすましに強い方式を優先します。重要操作では、再認証、端末確認、アクセス元確認、リスクベース認証を組み合わせます。

端末とアプリケーションを更新する

端末側の脆弱性や古いアプリケーションは、中間者攻撃の補助経路になります。OS、ブラウザ、VPNクライアント、業務アプリ、ルーターやネットワーク機器のファームウェアを更新し、既知の脆弱性を残さないようにします。

企業では、端末管理、パッチ適用状況の可視化、古い端末の隔離、業務アプリの証明書検証テスト、プロキシやEDRのログ確認を行います。更新できない端末は、接続先や通信範囲を限定します。

企業で整備する運用

通信経路と重要システムを棚卸しする

中間者攻撃対策では、守るべき通信を把握します。社外からのVPN接続、クラウドサービス、管理画面、API連携、拠点間通信、SaaSログイン、決済や個人情報入力を伴う通信を棚卸しします。

そのうえで、TLS設定、証明書管理、DNS管理、認証方式、アクセス元制限、ログ取得を確認します。特に、古い社内システムや例外的にHTTPが残る画面は、優先して対策します。

証明書とTLS設定を管理する

証明書は、有効期限、対象ドメイン、発行元、秘密鍵の管理、更新手順を台帳化します。期限切れや設定ミスは、サービス停止だけでなく、利用者が警告に慣れてしまう原因になります。

TLS設定は、外部公開サイトだけでなく、社内向け管理画面、API、モバイルアプリ、拠点間通信でも確認します。古いプロトコルや弱い暗号スイートを無効化し、設定変更後は動作確認とログ確認を行います。

ログ監視とインシデント対応を用意する

中間者攻撃を完全に事前排除するのは難しいため、異常を検知し、被害を限定する体制が要ります。認証ログ、DNSログ、プロキシログ、VPNログ、証明書警告、EDRアラート、ネットワーク機器ログを確認します。

• 普段と異なる国・地域や端末からのログイン
• 短時間に増える認証失敗
• 未知のドメインへの接続や不審な名前解決
• 証明書警告やTLSエラーの増加
• 業務時間外の管理画面操作

被害が疑われる場合は、該当アカウントのセッション破棄、パスワードリセット、認証器再登録、端末隔離、DNS設定確認、ルーター設定確認、関係先への連絡を実施します。

利用者教育は警告時の行動まで決める

利用者教育では、「怪しいリンクを開かない」だけでは不十分です。証明書警告が出たとき、公共Wi-Fiでログインが必要になったとき、偽Wi-FiらしいSSIDを見つけたとき、普段と違うログイン画面が表示されたときの行動を決めます。

• 証明書警告を無視して接続しない
• 重要操作はブックマークや公式アプリから行う
• 公共Wi-Fiでは自動接続を無効にする
• 不審なログイン画面や警告をスクリーンショット付きで報告する
• 報告した利用者を責めず、早期報告を評価する

個人利用で確認するポイント

URLと証明書警告を確認する

ログインや決済の前に、URLのドメイン名を確認します。HTTPS表示があっても、偽サイトが証明書を取得している場合があります。証明書警告が出た場合は、通信を中断し、ブックマークや公式アプリから再度アクセスします。

公共Wi-Fiの自動接続を避ける

端末が過去に接続したWi-Fiへ自動接続する設定になっていると、似たSSIDの偽アクセスポイントへ接続する危険があります。公共Wi-Fiでは自動接続を切り、利用後はネットワーク設定から削除します。

重要サービスには多要素認証を設定する

メール、金融、クラウドストレージ、SNS、業務アカウントには多要素認証を設定します。可能であれば、セキュリティキーやパスキーなど、偽サイトへ認証情報を渡しにくい方式を使います。

まとめ

中間者攻撃は、通信当事者の間に攻撃者が入り込み、通信内容の傍受や改ざん、認証情報の取得を行う攻撃です。公共Wi-Fi、偽アクセスポイント、DNS改ざん、証明書検証の不備、古い暗号設定などが攻撃の起点になります。通信が成立しているように見えるため、利用者が気づきにくい点が特徴です。

対策の中心は、TLSとHTTPSの正しい利用、証明書警告を無視しない運用、HSTS、DNSとネットワーク機器の保護、端末とアプリの更新、耐フィッシング性を備えた多要素認証です。VPNは信頼しにくいネットワーク上の通信保護に役立ちますが、偽サイトや認証情報の中継を単独で防ぐものではありません。

企業では、通信経路、証明書、DNS、認証方式、ログ監視、インシデント対応をまとめて確認します。個人利用では、公共Wi-Fiの自動接続を避け、証明書警告を無視せず、重要サービスには多要素認証を設定します。通信経路を信頼しすぎない設計と運用が、中間者攻撃の被害を抑える条件になります。