読み方 ： はんしゃこうげき

概要

攻撃者はクライアント側からサーバ側へ送信された認証データを盗み取り、サーバへのログインを試みる。サーバから認証データの送信を要求されたら盗み取ったものをそのまま送信し、本人に成り代わってアクセスを試みる。

この攻撃の特徴はパスワードなど秘密の情報そのものの入手が必要ない点で、暗号化やハッシュ化でパスワード自体が秘匿されていても、毎回同じ認証データを送信する方式の場合には攻撃者は正しく暗号化・ハッシュ化された認証データを送信することができてしまう。

対策として、毎回異なるパスワードを利用するワンタイムパスワードを導入したり、サーバ側が認証の度にランダムなデータ（ワンタイムトークン）をクライアント側へ発行し、パスワードと組み合わせてハッシュ化することで送受信するデータの内容が毎回変わるようにするなどの方法がある。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。