MITB攻撃 【Man-In-The-Browser】 マン・イン・ザ・ブラウザ攻撃

よく知られた手口として、オンラインバンキングの操作を乗っ取って利用者の預金を詐取する手法がある。攻撃者は標的のコンピュータに何らかの方法でトロイの木馬を送り込み、Webブラウザの通信をすべて中継して監視するプロキシとして動作させる。

監視中に利用者が正規の認証情報を入力して金融機関のサービスにログインしたのを検知すると、通信に介入して送受信情報の改竄を行い、振込先などの情報を不正に書き換えて攻撃者の指定した口座に預金を振り込ませてしまう。

これは、利用者から見ると不正な偽サイトに誘導されたわけではなく、正規のサービスを利用して正しく操作が完了したように見える（データの改竄は画面上ではなく送信のタイミングで行われる）ため対策が難しい。

銀行側から見ても、正規の利用者がいつものコンピュータから正規の手続きに則って認証を行い、正しく送金指示を行っているように見えるため、やはり対策を取りにくい。両者とも単独で改竄に気付くのは困難なため、送信時に送金情報に応じて変化するワンタイムパスワードを付加して受信側で検証するトランザクション署名などの仕組みが必要となる。

関連用語

人工知能

【AI】

Webサイト

【website】

クライアント

【client】

コンピュータウイルス

【computer virus】

サーバ

【server】

パソコン

【PC】

ログイン

【login】

ソフトウェア

【software】

アプリケーションソフト

【application software】

なりすまし

【スプーフィング】

アクセス

【access】

サイバー攻撃

【cyberattack】

マルウェア

【malware】

脆弱性

【vulnerability】

中間者攻撃

【MITM攻撃】

ネットワーク

【network】

ブラウザ

【browser】

システム

【system】

データ

【data】

セキュリティ

【security】