多くの攻撃者の目標は、彼らのビジネス姿勢がどうであれ、人々のデータを盗むことにあります。個人ユーザーに対する小規模な単発の攻撃の形をとることもあれば、よく知られたWebサイトや金融データベースを狙った大規模なハッキングとして現れることもあります。方法はさまざまでも、目的は同じです。多くの場合、攻撃者はまずユーザーのコンピューターへ何らかのマルウェアを送り込もうとします。これが、攻撃者とユーザーデータを結ぶ最短経路となります。何らかの理由でそれができない場合、よく使われるのは「中間者攻撃」(Man-in-the-Middle攻撃。MITM攻撃とも)と呼ばれる手法です。名前が示すとおり、攻撃者本人または攻撃者の利用するツールが、ユーザーとその価値ある資産(オンラインバンキングサイト、メールアカウントなど)との間に入り込むやり方です。この攻撃は、特にこの攻撃の危険性を意識していないユーザーにとって、有効かつ検知されにくいものです。
中間者攻撃の定義
中間者攻撃の概念はたいへんシンプルで、また、コンピューターセキュリティやオンライン世界の話にとどまりません。最もシンプルな形は、通信しようとしている主体の中間に攻撃者が入り込み、やりとりされるメッセージを傍受し、そのうち一方になりすますというものです。オフラインの世界に置き換えてみると、たとえば誰かが偽の請求書を作成して標的の誰かの郵便受けに入れておき、その人が支払おうとした小切手を横取りするようなものです。オンラインの世界での攻撃はもう少し複雑ですが、コンセプトは同じです。攻撃者は、ターゲットとなる人とその人がやりとりしようとしているものとの間に、自らを割り込ませます。攻撃を成功させるには、標的のユーザーにも、そのユーザーがやりとりしようとしている相手(攻撃者がなりすまそうとしている主体)にも、攻撃者の存在が知られてはなりません。
中間者攻撃のバリエーション
最も一般的な中間者攻撃では、通信を傍受する手段としてWi-Fiルーターが使われます。正規のものに見せかけた不正なルーターを設置する方法と、正規ルーターの欠陥を悪用してユーザーセッションの傍受を図る方法があります。前者の場合、攻撃者は自分のラップトップまたは無線デバイスをWi-Fiスポットに仕立て上げ、空港やカフェなどの公共エリアでよく使われる名前を付けます。ユーザーがその「ルーター」に接続し、オンラインバンキングサイトや商取引サイトにアクセスを試みると、攻撃者はログイン情報を傍受します。後者の場合は、正規Wi-Fiルーターの設定上の弱点や暗号化実装の弱点を見つけだし、これを悪用してユーザーとルーターとの間で交わされる通信を盗聴します。こちらのほうが方法としては難しいのですが、ルーターへの1回のアクセスを数時間または数日間保つことができれば、より高い成果を得ることが可能です。つまり、被害者となったユーザーが安全だと信じている通信セッション(たとえば企業メールサーバーとの通信セッション)を静かに盗聴することによって、大量の機密データを手に入れることができるのです。
最近見られるようになったバリエーションは、「Man-in-the-Browser攻撃」と呼ばれるものです。攻撃者はさまざまな方法を使用して、ブラウザー内で動作する悪意あるコードを被害者のコンピューターに入り込ませます。コンピューターに入り込んだマルウェアは、攻撃者がマルウェアにハードコーディングしておいたさまざまな標的サイトとブラウザーとの間で交わされるデータをひそかに記録します。この攻撃は、大勢のユーザーを狙うことができ、標的に近づかなくても攻撃が可能であることから、このところ広まりをみせています。
防御策
中間型攻撃から身を守る方法はいくつかありますが、そのほとんどはルーターまたはサーバー側での対処であり、ユーザー側では通信の安全を講じる手だてがありません。このような防御策のひとつは、クライアントとサーバーの間の通信を強力な暗号化で守ることです。この場合、サーバーはデジタル証明書の提示によって自らを認証可能である必要があり、さらに、クライアントとサーバーは機密データをやりとりするための暗号化されたチャネルを確立しなければなりません。一方で、一部の中間者攻撃に対してユーザーが取れる防御策は、オープンなWi-Fiルーターに接続しないこと、またはHTTPS Everywhere やForceTLSのようなブラウザープラグインを導入することです。これらプラグインは、可能な限りいつでも安全な接続を確立してくれます。ただし、こうした防御策はいずれも限界があり、SSL接続のセキュリティを無効にするSSLStripやSSLSniffなど、実際的な攻撃のデモンストレーションが存在することは事実です。