中間者(MITM)攻撃の説明
1. 序章
機密情報の取得となりすましは、デジタル世界の攻撃者の古典的な目的です。 複数の攻撃には、次のような目的があります。 DDoS そして特定の マルウェア. もちろん、インターネットプロトコルは、たとえば暗号化を使用して接続を保護するなど、この種の問題を回避するために何年にもわたって進化してきました。
このチュートリアルでは、man-in-the-middle攻撃が実際にどのように機能するかを学習します。
最初に、中間者攻撃を実行する攻撃者の典型的な動機を確認します。 次に、この攻撃の技術的な詳細を理解します。 最後に、現実の世界での中間者攻撃の悪名高い事例を見ていきます。
2. MITM攻撃の典型的な動機
インターネットが出現して普及して以来、機密情報や機密情報が毎日ワールドワイドウェブを通過しています。 この情報の小包は、金銭的および戦略的価値があり、ハッカーに盗まれる標的となる可能性があります。
さらに、情報を盗むと、特定のシステムの弱点が明らかになる可能性があります。 この情報は、同じハッカーがさまざまなカテゴリの攻撃を利用するために調査することができます。
最後に、通信を傍受することで、ハッカーが情報を入手できるようになるだけでなく、偽のメッセージを作成して、特定の被害者の身元を推測して送信できるようになります。 この慣行は、特定の応答を誘発したり、偽のメッセージを受信した他の被害者に何らかの欺瞞を引き起こしたりする可能性があります。
このようにして、MITM攻撃を採用する動機を3つのポイントに要約できます。
- 列挙:通信を傍受して被害者(デジタルシステムまたは人)の脆弱性と弱点を見つけ、将来の攻撃を利用する
- スパイ:通信を傍受して、特定の個人またはシステムに関する貴重な、機密、および機密データを取得します
- 欺くこと:MITM攻撃の被害者間で交換されるメッセージで送信されるデータを変更し、欺瞞シナリオを引き起こす
3. MITM攻撃の技術的詳細
中間者攻撃は、IDスプーフィングとトラフィック傍受という2つの主要な段階で要約できます。
IDスプーフィングは、攻撃者が目的のサービスの正当なサーバーであることをクライアントに納得させることを目的としています。 ただし、トラフィックインターセプトの段階では、攻撃者はクライアントから送信されたネットワークトラフィックを取得して分析します。
これらの段階については、次のサブセクションで詳しく説明します。このチュートリアルでは、中間者攻撃を説明するためにクライアント/サーバーアーキテクチャを採用したことを強調する必要がありますが、機能します。他のアーキテクチャでも。
3.1. IDスプーフィング
IDスプーフィング段階の最初の目的は、攻撃者が実際には要求されたサービスの正当なサーバーであることをクライアントに納得させることです。 これから、クライアントは彼が合法的なサーバーと通信していると思います。 ただし、ネットワークトラフィックはすべて攻撃者に向けられています。
攻撃者は正当なクライアントから要求を受け取り、あなたの身元を再び偽装します。攻撃者は、クライアントとして目的のサービスの正当なサーバーと通信します。
このように、クライアントがコヒーレントな要求をサーバーに送信し、正当なサーバーがクライアントの要求に自然に応答するため、攻撃者はほとんど見えません。
IDスプーフィング段階の目的は、攻撃者がクライアントとサーバー間の通信を目に見えない形で仲介するようにすることです。 攻撃者がネットワークトラフィックのデータを変更できないという意味ではありません。 これは、クライアントとサーバーの両方に対して説得力のある方法で実行する必要があることを意味します。
次の画像は、説明されているシナリオを示しています。
最後に、攻撃者がクライアントからサーバーへのトラフィックを傍受するさまざまな方法があります。
- ARPスプーフィング:攻撃者はARPメッセージをスプーフィングして、そのMACアドレスを正当なサーバーIPにリンクし、そのMACアドレスをクライアントIPにリンクします。
- IPスプーフィング:攻撃者はコアネットワークのトラフィックを傍受し、パケットの送信元または宛先IPアドレスを攻撃者のIPアドレスに変更します
- DNSスプーフィング:攻撃者は、特定のサービスに攻撃者のIPを提供する正当なサーバーのIPアドレスを変更することにより、DNSサーバーをポイズニングします。
これらの方法のいずれかを選択することは、たとえば、攻撃者と被害者がどこにいるのか、そして彼らが互いに通信するためにどのプロトコルを使用するかによって異なります。
3.2. 交通傍受
サーバーとクライアントの両方にIDをスプーフィングした後、攻撃者は最終的に2つの正当なエンティティ間の通信を仲介する人物として機能します。 これは、攻撃者がこの通信で送受信されるすべてのネットワークトラフィックを傍受することを意味します。
しかし、この段階は簡単な部分とはほど遠いです!
攻撃者は、クライアントとサーバー間の透過的な通信を維持する必要があります。 したがって、言い換えれば、正当なエンティティは、攻撃者が通信を傍受するトラフィックに注意するべきではありません。
このように、攻撃者が脆弱性を列挙したり、クライアントをスパイしたりしているだけの場合は、正当なエンティティ間の通信品質を低下させないようにする必要があります。
逆に、たとえば、遅延率やパケットドロップ率が高くなりすぎると、クライアントまたはサーバーが攻撃されている可能性があります。 そのため、接続を切断するか、メッセージの送信を停止することができます。
次の画像は、前述のシナリオの例です。
さらに、傍受されたネットワークトラフィックを変更する場合、攻撃者は特に注意を払います。 したがって、変更は、クライアントに何らかの望ましいアクションを実行させるのに十分な説得力がなければなりません。
攻撃者が望むアクションの特定の例は次のとおりです。特定の個人情報を提供するクライアント。 アクセスされたサービスに関してクライアントに欺瞞を引き起こす; 通常は悪意があり、攻撃者によって制御されている別のサーバーと通信するようにクライアントを誘導します。
これを行うために、攻撃者はサーバーからクライアントに送信されるフォーム、画像、テキスト、および広告を変更できます。
次の画像は、傍受された通信でデータを変更するプロセスを示しています。
要約すると、攻撃者にとってのトラフィック傍受段階では、通信を傍受するという目的の達成と、この傍受を透過的に保つことのバランスをとる必要があります。
4. 中間者攻撃の事例
MITM攻撃をデジタルの世界に結び付けますが、メッセージを透過的に傍受して操作することは歴史的な戦略です。
MITM攻撃の別の初期の例は、第二次世界大戦で発生しました。 連合国はドイツの無線送信を継続的に監視しました。 ドイツの送信が終了するとすぐに、連合国は同じ無線周波数で同じメッセージを再送信し始めました。
このように、連合国の送信はドイツの送信と混同されました。 そのため、連合国はこの状況を利用して、再送信されたドイツのメッセージ間で便利なメッセージを偽装して送信しました。
近年、デジタルの世界でもいくつかのMITM攻撃が発生しました。
たとえば、2011年にDigiNotarの登録システムが侵害され、GoogleやSkypeなどの有名なWebサイトの500を超える証明書が漏洩しました。 攻撃者はこれらの証明書を使用して、正当なWebサイトを装ったミラーWebサイトを作成しました。 これらのミラーWebサイトは、MITM攻撃を実行するために使用される可能性があります。
もう1つの例は、2017年のクレジットスコアEquifaxアプリです。 アプリはHTTPSプロトコルを適切に採用していませんでした。 そのため、攻撃者は、ユーザーがアプリにアクセスしている間、データを傍受して取得することが許可されていました。
5. 結論
このチュートリアルでは、man-in-the-middle攻撃について学習しました。 最初に、MITM攻撃を実行する主な動機を調べました。 したがって、MITM攻撃には、IDスプーフィングとトラフィック傍受という2つの主要な段階があることがわかりました。 次に、これらの各段階を詳細に分析しました。 最後に、過去および最近のMITM攻撃の例を特定しました。
中間者攻撃は、世界中のデジタルセキュリティ専門家に関係しています。これらの攻撃のほとんどのユーザーに対する透過性は、最終ユーザーに対する真の脅威になります。
このように、開発者とサービスメンテナがMITMを可能な限り回避するための対策を講じることは非常に重要です。 対策の例としては、堅牢な暗号化プロトコルと多要素および多段階認証の適用があります。