Man-in-the-Middle：検出と防止のヒント

Man-in-the-Middle攻撃は、メソッドを使用してデータを傍受し、既存の接続または通信プロセスに侵入するサイバー攻撃の一種です。攻撃者は、会話の受動的な聞き手、情報をこっそり盗む、または能動的な参加者、メッセージの内容の変更、または話していると思う人やシステムになりすますことができます。



多くの人が複数の携帯電話を備えた陸路を持っていて、ある家族が別の家族が話している間に拾うことができた20世紀を思い出してください。他の誰かが会話に参加し始めるまで、他の誰かがあなたの話を聞いているとは思わないかもしれません。これがman-in-the-middle攻撃の原則です。

man-in-the-middle攻撃はどのように機能しますか？

使用する方法に関係なく、ほとんどのman-in-the-middle攻撃には、単純な一連のアクションがあります。アリス、ボブ、チャック（攻撃者）の3人のキャラクターの例を使って考えてみましょう。

1. チャックは、アリスとボブが通信するチャネルを密かに耳にします
2. アリスはボブにメッセージを送信します
3. チャックは、アリスやボブの知らないうちに、アリスのメッセージを傍受して読みます。
4. チャックはアリスとボブの間のメッセージを変更し、望ましくないまたは危険な応答を作成します

Man-in-the-middle攻撃は通常、キルチェーンの初期、つまり偵察、侵入、感染の際に使用されます。攻撃者はしばしばman-in-the-middle攻撃を使用して、ターゲットに関する資格情報と情報を収集します。



多要素認証は、資格情報の盗難に対する効果的な防御になります。攻撃者がユーザー名とパスワードを見つけた場合でも、それらを使用するには2番目の認証要素が必要になります。残念ながら、場合によっては、多要素保護をバイパスできます。



これは、攻撃者が多要素認証をバイパスした、Microsoft Office365に対する実際のman-in-the-middle攻撃の実際の例です。

1. , Microsoft, .
2. - .
3. Microsoft, .
4. Microsoft .
5. -.
6. - .
7. Evilginx cookie- .
8. Microsoft, cookie- Office 365 . .

毎週のサイバー攻撃ワークショップで、この攻撃のライブデモを見ることができます。

man-in-the-middle攻撃の方法と種類

攻撃者が「真ん中の男」になるために使用する一般的な戦術を次に示します。

1. ARP-
   
   
   
   (ARP) — , (MAC) IP- .
   
   
   
   , . , ( ) . , . , .
   
   
   
   
   • ( ) ().
   • , .
   • ARP, , .
   • « » (DoS), , ARP.
   • , , , « » .
   
   
   
2. DNS
   
   
   
   DNS , DNS, . Google, Google, , , :
   
   
   
   
   • , DNS-.
   • , .
   • , DNS-, www.example.com IP-.
   • www.example.com , DNS- , IP- !
   • -, , - . , , DNS- www.example.com.
   
   
   
3. HTTPS
   
   
   
   HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
   
   
   
   
   • - www.example.com «» - , , .
   • () -.
   • .
   • .
   • www.example.com, « », .
   
   
   
4. Wi-Fi
   
   
   
   Wi-Fi Wi-Fi . — , , , .
5. 
   
   
   
   — « », , - (, ), cookie- . Live Cyber Attack, .
   
   
   
   cookie- , - , . ( ) , , .
   
   

man-in-the-middle攻撃はどのくらい一般的ですか？

Man-in-the-middle攻撃は長い間存在しており、フィッシング、マルウェア、さらにはランサムウェアほど一般的ではありませんが、通常、攻撃者が明確な意図を持っている複雑な標的型攻撃の一部です。たとえば、銀行カード番号を盗もうとする攻撃者は、カフェでWi-Fiトラフィックを傍受することでこのデータを見つけることができます。別の攻撃者は、大企業のネットワークに侵入するためのより大きな計画の一部として、man-in-the-middle攻撃を使用する可能性があります。私たちのman-in-the-middle攻撃ラボは、攻撃者がマルウェアを使用してネットワークトラフィックを傍受し、企業の電子メールに侵入する方法を示しています。

man-in-the-middle攻撃を検出する方法

Man-in-the-middle攻撃は微妙ですが、その存在は通常のネットワークアクティビティに痕跡を残し、サイバーセキュリティの専門家とエンドユーザーはこれらの痕跡を見つけることができます。検出するよりも予防​​する方が良いと一般に認められています。

man-in-the-middle攻撃の兆候

ネットワーク上に招待されていないリスナーがいる可能性があることを示すいくつかの兆候は次のとおりです。

• 予期しない、または繰り返される切断：攻撃者は、ユーザーが再接続しようとしたときにユーザー名とパスワードを傍受するために、ユーザーに強制的に切断させます。予期しない旅行や定期的な旅行を監視することで、このような危険な行動を事前に予測できます。
• : - , . , DNS. , www.go0gle.com www.google.com.
• Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.

« »

ここに、man-in-the-middle攻撃からあなたとあなたのネットワークを保護するためのいくつかのガイドラインがあります。ただし、いずれも100％の信頼性を保証するものではありません。

一般的なベストプラクティス

一般的なサイバーセキュリティルールへの準拠は、man-in-the-middle攻撃からの防御に役立ちます。

• 安全なWi-Fiルーターにのみ接続するか、ワイヤレスキャリアの暗号化された接続を使用してください。WPA2セキュリティプロトコルを使用するルーターに接続します。それは絶対的なセキュリティを提供しませんが、それでも何もないよりはましです。
• VPNを使用して、エンドポイントとVPNサーバー（企業ネットワークまたはインターネット上）間のトラフィックを暗号化します。トラフィックが暗号化されている場合、「真ん中の人」がそれを傍受または変更することはより困難になります。
• , (Zoom, Teams . .)
• , .
• HTTPS-, .
• , .
• DNS HTTPS — , DNS DNS-.
• « », , , .
• « » (, ).

« »?

エンドツーエンドの暗号化は、攻撃者がトラフィックをリッスンしている場合でも、攻撃者がネットワークメッセージを読み取るのを防ぐのに役立ちます。暗号化では、送信者と受信者は共有キーを使用して、送信中のメッセージを暗号化および復号化します。このキーがないと、メッセージはランダムな文字の集まりのように見え、「真ん中の男」はそれらの恩恵を受けることができません。



暗号化により、攻撃者はネットワークデータを傍受して読み取ることが困難になりますが、攻撃者は暗号化をバイパスする方法を開発しているため、それでも可能であり、情報の開示に対する完全な保護を提供しません。



たとえば、man-in-the-middle攻撃を研究している私たちの研究室では、攻撃者がユーザー名、パスワード、および多要素認証情報を含む認証トークンを盗んで、電子メールアカウントにログインする方法を示します。セッションCookieがハイジャックされると、クライアントとサーバー間の通信が暗号化されているかどうかは関係ありません。ハッカーはエンドユーザーとしてログインするだけで、そのユーザーと同じ情報にアクセスできます。

man-in-the-middle攻撃の未来

Man-in-the-middle攻撃は、パスワードや銀行カード番号などの機密データを傍受できる限り、攻撃者の武器庫で効果的なツールであり続けます。攻撃者が攻撃を開始するために使用する脆弱性を排除するために、一方ではソフトウェア開発者とネットワークサービスプロバイダーの間で、他方ではサイバー犯罪者の間で継続的な武力競争があります。



たとえば、Internet of Things（IoT）の大規模な拡張について考えてみましょう。過去数年間。 IoTデバイスはまだセキュリティ基準を満たしていないため、他のデバイスと同じ機能を備えていないため、man-in-the-middle攻撃に対してより脆弱になります。攻撃者はそれらを使用して組織のネットワークに入り、他の方法に進みます。インターネットにアクセスできる冷蔵庫は、新しいファッショナブルなデバイスであるだけでなく、セキュリティシステムの穴でもあると誰が考えたでしょうか。サイバー犯罪者はこれを知っています！5G



などの広範なワイヤレスネットワーク、攻撃者がman-in-the-middle攻撃を使用してデータを盗み、組織に侵入するもう1つの機会です。これは、BlackHat 2019コンピューターセキュリティ会議で十分に実証されました。ワイヤレステクノロジー企業は、BlackHatに示されているような脆弱性に対処し、ユーザーとデバイスに安全なバックボーンを提供する責任があります。



現在の傾向では、接続されているネットワークとデバイスの数が増えています。つまり、攻撃者はman-in-the-middleメソッドを使用する機会が増えています。 man-in-the-middle攻撃の明らかな兆候を知り、検出技術を適用すると、攻撃が損傷を引き起こす前に検出するのに役立ちます。



私たちをご覧くださいライブサイバーアタックワークショップでは、中間の攻撃者が機密データに侵入して盗むためにユーザーの認証トークンを傍受する方法を示します。また、Varonisがこのタイプの攻撃を検出する方法も示します。