AiTM攻撃
今回は、フィッシング対策や多要素認証(MFA)の話題で見かけることが増えたAiTM(Adversary-in-the-Middle)攻撃について簡単にまとめてみました。
AiTM攻撃とは、攻撃者が利用者とサービスの通信の間に入り込むことで認証情報やセッション情報を盗み取る攻撃手法です。
名前の由来は「Adversary-in-the-Middle」で、従来からある「Man-in-the-Middle(中間者攻撃)」の一種と考えることができます。
一般的には、攻撃者が正規サービスを模倣したフィッシングサイトを用意し、利用者をそのサイトへ誘導します。
利用者がIDやパスワードを入力すると、その情報は攻撃者を経由して正規サービスへ転送されるため、利用者は不自然さに気付きにくい場合があります。
さらに、認証時に発行されるセッションCookieなどの情報を窃取されると、多要素認証(MFA)を利用していた場合でも不正アクセスに悪用される可能性があります。
そのため、「MFAを設定しているから安全」と考えるのではなく、フィッシング耐性のある認証方式を導入することも重要だと言われています。
その代表例がFIDO2やパスキーです。
FIDO2(ファイドツー)とは、パスワードに依存しない認証を実現するための国際的な認証規格です。
従来の認証では利用者がパスワードを入力し、その内容をサービス側で確認していましたが、この方法ではパスワードの漏えいや使い回し、フィッシング詐欺による窃取といったリスクがありました。
FIDO2では、端末内に保存された秘密鍵とサービス側に登録された公開鍵を利用して本人確認を行います。
認証時に秘密鍵そのものが端末の外へ送信されることはなく、利用者は指紋認証や顔認証、PINコードなどを利用して認証を行います。
また、認証情報は利用するWebサイトごとに作成されるため、攻撃者が正規サイトそっくりのフィッシングサイトを用意したとしても、端末は別のサイトとして認識します。
そのため、正規サイト向けに作成された認証情報をフィッシングサイトで利用することはできません。
従来のパスワード認証では、利用者が誤って偽サイトにパスワードを入力してしまうと、その情報を攻撃者に盗まれてしまう可能性がありました。
しかし、FIDO2やパスキーでは認証時にアクセス先のドメイン情報も確認されるため、AiTM攻撃やフィッシング攻撃に対して高い耐性を持っています。
近年ではMicrosoftやGoogleをはじめとした多くのサービスでパスキーの利用が推奨されており、パスワードに代わる認証方式として注目されています。
また、アクセス元の端末や場所、利用状況を継続的に確認するゼロトラストの考え方も、AiTM攻撃による被害を抑えるための対策の一つとして活用されています。
近年はクラウドサービスの利用拡大に伴い認証情報を狙った攻撃が増えているため、AiTM攻撃について知っておくだけでもセキュリティ意識の向上につながるかもしれません。