1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説

中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説

セキュリティニュース

投稿日時: 更新日時:

中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説

サイバー攻撃の手法である中間者攻撃(AiTM攻撃)とは何か?なぜ多要素認証で防げない理由と対策を解説します。

中間者攻撃(AiTM攻撃)とは?

AITMAdversary-in-the-Middle は、サイバー攻撃の一種であり、攻撃者が通信の中間に割り込み、データを盗み取ったり改ざんしたりする手法です。

この攻撃は、一般的な Man-in-the-MiddleMitM)攻撃 の進化版であり、特に 多要素認証(MFA)を突破 することを目的とする場合が多く、最近のフィッシング攻撃において注目されています。

中間者攻撃(AiTM攻撃)の手順

AiTM攻撃の手順例は以下です。

標的へのフィッシング

攻撃者は、正規のログインページを模倣した偽のWebサイトを作成し、フィッシングメールなどで被害者を誘導します。

リアルタイムの中継

被害者と正規サイトの認証プロセスを中継します。

被害者が偽のWebサイトにログイン情報を入力することで、攻撃者はその情報を取得して、本物のWebサイトへ送信します。本物のWebサイトは偽のWebサイトへ認証結果を返すため、その結果を攻撃者が被害者へ送信します。

さらに、被害者がMFA(多要素認証)を設定していたとしても、ワンタイムパスワード(OTP)のような一時的なコードを使用している場合、被害者が偽のWebサイトにOTPを入力すると、その情報も即座に攻撃者によって本物のWebサイトに送信されるため、正規の認証が完了してしまいます。

セッションの乗っ取り

成功すると、攻撃者は正規のセッション情報を奪取し、被害者になりすましてシステムにアクセスすることが可能になります。

被害者もログインできているため、不正にログインしていることに気づかれずに、情報の窃取や改ざん行為が行えます。

専用のサービスやツールキット

近年、AiTM攻撃を容易に実行できるツールキットがダークウェブなどで流通しています。これは、攻撃者がフィッシングサイトを簡単に作成し、正規の認証プロセスをリアルタイムで中継するためのツールです。

このキットを利用することで、攻撃者は専門的な技術がなくてもAiTM攻撃を実行でき、多要素認証(MFA)を突破してセッションを乗っ取ることが可能になります。特に、企業のクラウドサービスや金融機関のオンラインバンキングを標的にした攻撃が増加しており、従来のフィッシング対策では防ぎきれないケースもあります。

  • W3LLフィッシングキット
    • W3LL」という攻撃者が開発したプライベートなAiTMフィッシングキットで、特に企業のMicrosoft 365アカウントの侵害を目的としています。
  • Mamba 2FA
    • elegram上でフィッシング・アズ・ア・サービス(PhaaS)として提供されているフィッシングキットで、Microsoftアカウントの認証情報とCookieを窃取することが可能です。
  • Evilginx
    • オープンソースのAiTMフィッシングツールで、リバースプロキシとして機能し、ユーザーの認証情報やセッションクッキーを窃取するために使用されます。
  • NakedPages
    • 検出回避のための高度な技術を備えたAiTMフィッシングキットで、Cloudflare WorkersTurnstileを利用してボット検出を回避します。
  • Modlishka
    • オープンソースのAiTMフィッシングツールで、ユーザーと正規のウェブサイト間のプロキシとして機能し、認証情報を収集します。

実際に2024年にはMamba 2FAの特徴に一致するフィッシングキャンペーンが実施され、実際に不正アクセスの被害にあった企業が詳細を公開しています。

他の中間者攻撃との違い

AiTMは、従来のMITMMan-in-the-Middle)やMITBMan-in-the-Browser)と同じように、攻撃者が利用者と正規サイト間の通信に介入する手法の一つですが、攻撃の目的や手段にいくつかの重要な違いがあります。

MITMMan-in-the-Middle

MITMは、通信の途中に攻撃者が介入し、データを盗み見たり改ざんしたりする攻撃です。例えば、攻撃者が公衆Wi-Fiに侵入し、被害者の通信を盗聴するケースが典型的です。

通信データの盗聴や改ざんが主な目的であり、攻撃者は暗号化されていない通信や、ぜい弱な暗号化プロトコルを狙います。認証情報を盗む場合もありますが、セッションの乗っ取りには至らないことが多いです。

MITBMan-in-the-Browser

MITBは、ブラウザにマルウェアを仕込み、正規のサイトとの通信を不正に操作する攻撃です。金融機関のオンラインバンキングなどを標的にするケースが多く、ユーザーが気づかないうちに送金情報が書き換えられるなどの被害が発生します。

ブラウザ内部で攻撃が行われ、セキュリティソフトでは検知が難しいことが特徴です。正規サイトと利用者の間に介入しますが、攻撃範囲は特定のセッションに限定されます。

それぞれの特徴の比較

MITMやMITBは主に通信データの盗聴や改ざんを目的とするのに対し、AiTMは認証情報をリアルタイムで乗っ取ることでセッションを完全に掌握することを狙います。そのため、AiTMは従来の攻撃手法と比べて、より深刻な被害をもたらす可能性があります。

 

攻撃手法 目的 方法 主な対策
MITM 通信データの盗聴・改ざん ネットワーク上で盗聴 通信の暗号化(HTTPSVPNなど)
MITB ブラウザ内の通信改ざん マルウェアによるブラウザ乗っ取り セキュリティソフト、ブラウザの保護機能
AiTM 認証情報のリアルタイム乗っ取り フィッシングサイト経由で認証情報を中継 フィッシング耐性MFAFIDO2/WebAuthn

なぜ多要素認証で防げないのか

多要素認証(MFA)はパスワードに加えて、ワンタイムパスワード(OTP)や認証アプリ、生体認証を使うことでセキュリティを強化する仕組みです。

AiTM耐性のない多要素認証では、追加の認証情報も攻撃者が中継することで認証を突破できたり、利用者と認証サーバ間で直接やり取りすることで認証が成立してしまうこともあります。

AiTM耐性のない多要素認証としては以下があります。

ワンタイムパスワード(OTP

SMSやEmailを利用したワンタイムパスワードではAiTM攻撃を防げません。

正規サイトから利用者にワンタイムパスワードが送信されますが、利用者はそのワンタイムパスワードを偽のサイトに入力するため、攻撃者が受け取り、リアルタイムで正規サイトに送信することで、突破されてしまいます。

タイムベースワンタイムパスワード(TOTP

Authenticatorアプリケーションを利用するような、タイムベースのワンタイムパスワードでもAiTM攻撃は防げません。

ワンタイムパスワードと同じ原理で、利用者のコード送信先が偽のサイトとなるため、攻撃者に中継されてしまい、突破されます。

プッシュ通知型MFA

プッシュ通知の場合は、通知の仕方によっては不正アクセスに気づける可能性がありますが、誤って承認してしまう懸念もあります。

具体的には、通知内容に「どのデバイスでの認証か」「地理的な位置情報」を表示させることで、自分のデバイスや現在地とは異なる内容だった場合に承認しないという選択をすることができます。

ただし、内容を確認せず誤って承認してしまう可能性もあるため、AiTM耐性はあまり高くありません。

AiTM攻撃に有効な対策

フィッシング耐性のある多要素認証の導入

前述の通り、多要素認証には複数の方式がありますが、AiTM攻撃に耐性のない方式では攻撃者による不正アクセスを防ぐことはできません。

AiTM攻撃に耐性のある多要素認証の方式としては、FIDO2 / WebAuthn Passkeyがあります。

FIDO2 / WebAuthn はハードウェアベースの認証方式です。あらかじめ正規サイトに認証する機器(認証器という)を登録しますが、この時、認証器に正規サイトのURLも併せて登録を行います。

そして、ログインの際に認証器によって承認操作を実施しますが、事前に登録しているURLと一致するかどうかを確認するため、正規サイトとは異なるURLで作成された偽のサイトでは認証されないことになります。

認証器にはUSB型のセキュリティキーや、PC内蔵の生体認証などがあり、手軽に利用できるため、作業効率を落とすこともありません。

セキュリティ意識の向上

AiTM攻撃を防ぐためには、技術的な対策だけでなく、従業員のセキュリティ意識を高めることも重要です。

攻撃者は正規のログインページを模倣したフィッシングサイトを作成し、ユーザーを騙して認証情報を入力させようとします。そのため、フィッシングの特徴を理解し、不審なメールやサイトを見抜く力を養うことが求められます。

定期的にフィッシング演習を実施し、誤ってリンクをクリックしてしまった場合の要因を分析することで、注意すべきポイントを明確にできます。また、フィッシングメールの典型的な手口を学び、たとえ信頼できる送信者からのメールであっても慎重に確認する習慣を身につけることが重要です。

セッション監視と異常検知の強化

リアルタイムでのセッション監視と異常検知を強化し、不正アクセスを迅速に察知する仕組みを整えることが効果的です。

通常とは異なるIPアドレスやデバイスからのアクセスが発生した場合に警告を出し、必要に応じて自動的にブロックすることで、攻撃者の侵入を防ぎます。また、ログイン後のユーザーの行動を分析し、データの大量ダウンロードや異常な時間帯での操作など、通常と異なる行動を検知する仕組みを導入することも有効です。

攻撃者が正規の認証情報を盗んだ後にセッションを乗っ取るケースに備え、一定時間ごとの再認証やセッションの継続性を検証する仕組みを取り入れることで、不正利用のリスクを低減できます。

まとめ

AiTM攻撃は、従来の中間者攻撃よりも高度で、多要素認証(MFA)を突破し、正規のセッションを乗っ取ることで被害を拡大させる危険性があります。そのため、従来のセキュリティ対策だけでは防ぎきれない場合があり、より強固な対策が求められます。

本記事で紹介したAiTM攻撃への主な対策

  1. フィッシング耐性のある多要素認証の導入
    1. FIDO2 / WebAuthn や Passkey など、フィッシング耐性の高い認証方式を採用することで、偽サイトによる中継を防ぐ。
    2. USB型セキュリティキーやPC内蔵の生体認証を活用することで、利便性を維持しつつ高いセキュリティを実現。
  2. セキュリティ意識の向上
    1. フィッシングサイトを見抜く力を養うため、定期的なフィッシング演習を実施。
    2. フィッシングメールの典型的な手口を学び、疑わしいメールのリンクを慎重に確認する習慣を徹底。
    3. 認証通知の確認を徹底し、不審なログイン試行を即座に報告する文化を醸成。
  3. セッション監視と異常検知の強化
    1. 通常とは異なるIPアドレスやデバイスからのログインをリアルタイムで監視し、異常があれば自動ブロック。
    2. ログイン後の挙動分析を行い、不自然な操作(データの大量ダウンロード、不審な時間帯での操作など)を検知。
    3. 一定時間ごとの再認証や、セッションの継続性を検証する仕組みを導入。

AiTM攻撃は近年増加しており、従来のMFAだけでは完全に防ぐことが難しい攻撃手法です。企業や個人が適切な対策を講じることで、攻撃のリスクを大幅に低減できます。

セキュリティ対策は一度導入すれば終わりではなく、継続的な見直しと改善が必要です。最新の攻撃手法に対応できるよう、セキュリティ対策を常にアップデートし、万全の備えを整えていきましょう。

 

関連記事

多要素認証(MFA)とは?メリットや必要性を解説多要素認証(MFA)とは?メリットや必要性を解説 多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA Google Cloudが2025年に多要素認証(MFA)を必須にGoogle Cloudが2025年に多要素認証(MFA)を必須に 二要素認証とは 多要素認証との違いを解説二要素認証とは 多要素認証との違いを解説 サイバー攻撃とは? 意味や種類、対策などを解説サイバー攻撃とは? 意味や種類、対策などを解説 Arc ブラウザのWindowsリリースを狙った偽ダウンロードサイトが観測され、マルウェア感染の恐れArc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ 多要素認証で約99%のセキュリティリスクを削減できる Microsoft研究から多要素認証で約99%のセキュリティリスクを削減できる Microsoftが発表 ゼロトラストとは?概念や今までのセキュリティとの違いを解説ゼロトラストとは?概念や今までのセキュリティとの違いを解説 安全なパスワード管理やパスワード生成とは安全なパスワード管理、パスワード生成とは