MITM攻撃(エムアイティーエムこうげき)とは | 意味や読み方など丁寧でわかりやすい用語解説

MITM攻撃とは、通信を行う二者間において、その通信経路の途中に攻撃者が不正に割り込み、あたかも正規の通信相手であるかのように振る舞い、情報の盗聴や改ざんを行う攻撃手法である。Man-in-the-Middleの略であり、「中間者攻撃」とも呼ばれる。攻撃者は、クライアント（利用者）とサーバー（サービス提供者）の間の通信を監視し、送受信されるすべてのデータを傍受したり、内容を不正に変更したりすることが可能になる。この攻撃の最大の特徴は、通信を行っている当事者たちが、自身が攻撃者と直接通信していることに気づきにくい点にある。攻撃者はクライアントに対してはサーバーのふりをし、サーバーに対してはクライアントのふりをすることで、双方の通信の仲介役となり、すべての情報のやり取りを掌握する。

攻撃のメカニズムは多岐にわたるが、基本的な考え方は共通している。まず、攻撃者は何らかの方法でクライアントとサーバーの間の通信経路に自身を割り込ませる。例えば、クライアントからサーバーへデータを送信しようとすると、そのデータはまず攻撃者の手に渡る。攻撃者はそのデータを読み取り、必要であれば改ざんを加えてから、本来のサーバーへ転送する。同様に、サーバーからクライアントへ返されるデータも、一旦攻撃者を経由してクライアントに届く。この一連の流れにより、攻撃者は通信内容を完全にコントロールできるようになる。このため、クライアントやサーバーは、自分が攻撃者と通信していることに気づかないまま、機密情報が盗まれたり、不正な情報を受け取ったりする危険性がある。

具体的な攻撃手法の一つに、ARPスプーフィングがある。これは、主に同じローカルネットワーク内に存在するコンピュータを標的とする。ARP (Address Resolution Protocol) は、IPアドレスとMACアドレスを対応付けるプロトコルであり、ネットワーク内で通信を行う際に必須の機能である。ARPスプーフィングでは、攻撃者が偽のARP応答をネットワークに送信し、クライアントにはサーバーのMACアドレスとして攻撃者のMACアドレスを、サーバーにはクライアントのMACアドレスとして攻撃者のMACアドレスを教え込む。これにより、クライアントからサーバーへの通信も、サーバーからクライアントへの通信も、物理的に攻撃者のデバイスを経由するようになり、攻撃者は中間者として振る舞えるようになる。

また、DNSスプーフィングもMITM攻撃の一種として挙げられる。DNS (Domain Name System) は、人間が覚えやすいドメイン名をコンピュータが理解できるIPアドレスに変換する役割を担う。DNSスプーフィングでは、攻撃者がDNSの応答を偽装し、ユーザーが特定のWebサイトにアクセスしようとした際に、正規のサーバーとは異なる不正なサーバーのIPアドレスをユーザーに伝え、誘導する。これにより、ユーザーは攻撃者が用意した偽のWebサイトにアクセスすることになり、そこで入力した情報（ID、パスワード、個人情報など）が攻撃者に盗まれてしまう。

さらに、公衆無線LANなどを利用した攻撃も頻繁に見られる。攻撃者は、無料Wi-Fiスポットに見せかけた不正なアクセスポイントを設置し、利用者がそのアクセスポイントに接続するように誘導する。利用者が不正なアクセスポイントに接続すると、その利用者の通信はすべて攻撃者の手元を経由することになり、通信内容が盗聴される危険性が高まる。特に、HTTPSなどの暗号化されていない通信を利用している場合は、その危険性は顕著となる。

SSL/TLSストリッピング攻撃もMITM攻撃の一種である。今日のWeb通信の多くは、安全性を確保するためにHTTPSプロトコルを使用し、通信内容をSSL/TLSで暗号化している。SSL/TLSストリッピング攻撃では、攻撃者がクライアントとサーバーの間に割り込み、クライアントと自身の間は暗号化通信に見せかけつつ、実際にはサーバーとの間では暗号化されていないHTTP通信にダウングレードして通信を行う。これにより、クライアントは安全なHTTPS通信を行っていると誤解するが、実際には攻撃者はサーバーとの間の通信内容を平文で傍受し、読み取ることができる。ブラウザのアドレスバーに鍵マークが表示されているからといって、必ずしも安全とは限らない状況を作り出すため、非常に巧妙な手口である。

これらの攻撃を受けると、ユーザー名やパスワード、クレジットカード情報、個人情報などの機密情報が攻撃者に盗み見られるだけでなく、送受信されるデータの内容が改ざんされる可能性もある。例えば、オンラインバンキングでの送金先口座情報が攻撃者によって変更されたり、ソフトウェアのダウンロード中にマルウェアが挿入されたりする危険性も存在する。

MITM攻撃への対策としては、まず、常にHTTPSで始まるWebサイトを利用し、ブラウザのアドレスバーに鍵マークが表示されているかを確認することが重要である。しかし、SSL/TLSストリッピング攻撃のように鍵マークがあっても安全とは限らないケースも存在するため、さらにWebサイトのSSL/TLS証明書が正規のものであるか、警告が表示されていないかなども確認する習慣が望ましい。また、不審な無料Wi-Fiスポットの利用は避け、VPN (Virtual Private Network) を利用して通信経路を暗号化・保護することも有効な対策となる。VPNを利用することで、たとえ通信経路の途中に攻撃者がいても、暗号化されたデータしか傍受できないため、内容を知られるリスクが大幅に低減する。さらに、二段階認証や多要素認証を導入することで、たとえパスワードが盗まれても不正ログインを防ぐことができる。OSやアプリケーションのセキュリティパッチを常に最新の状態に保つこと、信頼できないソフトウェアをインストールしないこと、そしてセキュリティソフトを導入し、定期的にスキャンを行うことも、包括的な対策として非常に重要である。システム管理者は、ネットワーク機器の適切な設定、IDS/IPS（侵入検知システム/侵入防止システム）の導入、そして定期的なセキュリティ監査を通じて、MITM攻撃のリスクを低減する努力が必要となる。