新たに台頭する「中間者攻撃」の脅威、傾向と対策を聞く

今年に入って「Man-in-the-Middle/Browser（中間者）」攻撃と呼ばれる手口を使ったサイバー犯罪が増加している。その特徴や対策をセキュリティ機関の専門家に聞いた。

[國谷武史，ITmedia]

　セキュリティ技術の開発を手掛けるフォティーンフォティ技術研究所（FFR）は、7月に発表した月例レポートで「Man-in-the-Middle」もしくは「Man-in-the-Browser」と呼ばれる中間者攻撃を用いたサイバー犯罪の危険性を指摘した。中間者攻撃の実情や対策について、同社執行役員 技術戦略室長の村上純一氏とリサーチ・エンジニアの大居司氏に話を聞いた。

　中間者攻撃とは、マルウェアなどの不正プログラムがコンピュータ間の通信に割り込み、取り交わされる情報を盗み取って外部の攻撃者に送信したり、通信内容を不正に改ざんしたりする手口。ITセキュリティ業界では2000年代前半から知られるようになったが、サイバー犯罪の手口として本格的に使われ始めたのは2000年代後半のこと。米EMCセキュリティ部門のRSA Securityは、中間者攻撃を使ったネットバンキング詐欺などの事例を度々報告してきた。

　それが今年に入って大規模化するようになった。6月には欧米のオンラインバンキングユーザーを狙ったサイバー犯罪事件「Operation High Roller」が発生。この事件では最大20億ユーロ（約2000億円）の被害が生じたとされる。

　村上氏は、中間者攻撃の特徴を「Webブラウザの中に人間が割り込んで悪さをするようなもの」と例える。

　オンラインバンキングでは固定のID・パスワードと乱数表やワンタイムパスワードなどを使った二要素認証、SSLなどによる通信経路の暗号化といったセキュリティ対策が取られている。しかし中間者攻撃では、Webブラウザ上のこれらの対策が適用されない部分でマルウェアが悪事を働く。

　ユーザーが入力したログイン情報を盗み取るだけでなく、金額を入力するフォームなどの画面の一部を密かに改ざんしてWebブラウザ上に表示する。ユーザーは正しい画面と思いこんで情報を入力するが、実際にはマルウェアが金額や送金先口座などを変更。その結果、ユーザーが意図せずに攻撃者の口座へ多額の金銭を振り込まれてしまう。

　オンラインバンキングを狙う攻撃は、これまでキーロガーでログイン情報を盗み取ったり、偽サイトに誘導するフィッシングでログイン情報をだまし取る手法が多用された。フィッシング対策ではURLの文字列やアドレスバーが緑色に変化（EV SSL証明書を利用するWebサイトの場合）することを確認したり、Webフィルタリングソフトを使用したりすることで、危険性にある程度対処できた。だが、中間者攻撃ではユーザーは正規サイトにアクセスしているので、URLやアドレスバーを確認しても攻撃を受けていることに気付けない場合が多い。

　大居氏は、中間者攻撃が増加している背景として、オンラインバンキングのセキュリティレベルの向上により、攻撃者がWebブラウザの弱点をこれまで以上に狙うようになったと指摘する。「プログラム開発の経験則からプログラムが大規模かつ複雑になるほど、潜在的な脆弱性やバグが増えることが知られています。現在のWebブラウザは非常に大規模でセキュリティ機能も実装していますが、その隙を突く攻撃テクニックも高まっているようです」

　中間者攻撃に備えるには、ウイルス対策ソフトを最新の状態にしてマルウェア感染を防ぐ、最新版のWebブラウザを使って脆弱性を解消しておくなど、基本的なセキュリティ対策の徹底がまず推奨される。同社では年内を目標に、オンラインバンキング利用時にマルウェアの関与をブロックして安全に取引を行えるようにするための対策技術の開発を進めているという。

　村上氏は、「金融情報システムセンター（FISC）はガイドラインでオンラインバンキングのセキュリティ対策をより強化することを金融機関に求めています。国内でも今まで以上に高度なサイバー攻撃は増えていく可能性があります」と警鐘を鳴らす。オンラインバンキングなどサービスでは新たな攻撃手法が次々と出現するだけに、サービスを安全に利用する上でリスク動向を把握しながら最新のセキュリティ対策を活用することが大切だ。