読み方 : エーアイティーエムこうげき
AiTM攻撃【Adversary-in-the-Middle attack】
AiTM攻撃とは?
攻撃者はまず、本物のログイン画面と見た目が同一の偽サイトを用意し、メールやSMSのリンクなどで利用者を誘導する。利用者がIDやパスワードを入力すると、偽サイトはその情報を即座に本物のサービスへ転送する。正規サービスからの応答画面もそのまま表示されるため、利用者には通常の操作と区別がつかない。
認証アプリやワンタイムパスワードによる二段階認証が要求された場合も、利用者が認証を完了した瞬間に攻撃者がその情報を中継して認証を成立させる。その結果、正規サービスが発行するセッションCookieが攻撃者の手に渡る。以後、攻撃者はそのCookieを使い、パスワードや認証コードを持たないまま本人のアカウントへアクセスできる。多要素認証を設定していても「認証済みの状態」そのものを奪われるため、従来の防御策が機能しない。
対策としては、FIDO2やパスキーのように認証情報を接続先のドメインと強固に結び付ける認証方式が有効とされる。これらは認証を要求したサイトのオリジン情報を検証する仕組みを持つため、偽サイトが中継すると認証が成立しない。また、登録済みデバイス以外からのセッションを拒否する条件付きアクセスポリシーも、Cookie窃取後の不正利用を防ぐ手段として有効とされる。異常な接続経路や短時間での地域変化を検知する監視機能が用いられることもある。
AiTM攻撃はクラウドサービスや企業の業務システムを標的とする実際の被害事例が報告されており、攻撃を自動化するキットがダークWebで販売されるなど、手口の普及も進んでいる。企業環境では従業員アカウントの侵害が内部システムへの侵入や情報窃取に直結するため、認証方式の見直しと監視体制の整備が喫緊の課題となる。
共有ボタンをタップ