man-on-the-side攻撃とは何か

サイバー攻撃には、誰でも聞いたことがあるような、たとえばDDoS（分散型サービス妨害）攻撃のようなものもあれば、ほとんど専門家しか知らないようなman-in-the-middle（MitM、中間者）攻撃のようなものもあります。そして、さらに珍しい攻撃として、man-on-the-side（MotS）攻撃があります。今回の記事では、man-on-the-side攻撃とは何か、そしてman-in-the-middle攻撃との違いについて説明します。

誰がどこから攻撃するのか

man-on-the-side攻撃とは、標的デバイスからの通信リクエストを見つけ出し、正規のサーバーよりも先にその標的デバイスへ応答を試みるものです。基本的には、セキュリティ侵害を受けたデータ転送チャネルを介して、クライアントがサーバーにリクエストを送信します。このチャネルは、サイバー犯罪者によってコントロールされてはいないものの、彼らに傍受されています。ほとんどの場合、このような攻撃では、攻撃者がインターネットプロバイダーのハードウェアにアクセスする必要がありますが、これは極めてハードルが高く、man-on-the-side攻撃が成功する可能性は低いと言われています。

man-in-the-middle攻撃の仕組みもこれと似ています。この場合も、クライアントとサーバーの間のデータ転送処理に攻撃者が入り込みます。この2種類の攻撃の主な違いは、man-on-the-side攻撃では、クライアントのリクエストが受信者側（サーバー）に届く点です。そのため、クライアントのリクエストにいち早く応答することが攻撃者の目標となります。

man-in-the-middle攻撃の場合、攻撃者がデータ転送チャネルで行えることの幅が広く、リクエストを傍受して、ネットワーク上の他のユーザーが送信したデータの改変や削除を行うことができます。サーバーの応答よりも早く応答しようと苦労する必要はありません。

ただし、man-in-the-middleは、man-on-the-sideよりも侵襲型の攻撃です。そのため、発見しやすくなります。man-in-the-middle攻撃の仕組みについては、こちらの記事で「赤ずきん」の例を使って詳しく説明しています。

man-on-the-side攻撃の仕組みとは

man-on-the-side攻撃が成功すると、さまざまなリクエストに対する偽の応答を被害者のコンピューターに送信することができるため、被害が甚大になる可能性があります。それにより次のようなことが可能になります。

• ユーザーがダウンロードするファイルを置き換える。一例として、2022年に中国語話者のAPT（高度サイバー攻撃）グループ「LuoYu（ルオユー）」が、WinDealer（ウィンディーラー）というマルウェアを拡散した事例があります。被害者の多くは中国の外交官、科学者、起業家でした。正規のソフトウェアをアップデートするためのリクエストがサーバーに送信されると、それに対してマルウェアが仕込まれた独自のパッチバージョンが攻撃者から返送されました。
• デバイス上で悪意のあるスクリプトを実行する。電子フロンティア財団によれば、これは、2015年に中国政府が有名なオープンソースコミュニティのGitHubの検閲を試みた際の手法です。攻撃者はman-on-the-sideの手法を使って、無防備なユーザーのブラウザーに悪意のあるJavaScriptを送りつけました。その結果、被害者のブラウザーでGitHubページの表示の更新が繰り返し行われました。このDDoS攻撃は5日以上も続き、サービスの大きな妨げとなりました。
• 被害者を特定のWebサイトにリダイレクトする。

ちなみに、さまざまな国の情報機関もこの種の攻撃を利用していると考えられています。

防御の方法

繰り返しになりますが、man-on-the-side攻撃が成功するのはきわめて稀なケースです。実際に攻撃を実行するには、プロバイダーのハードウェアに攻撃者がアクセスできる必要があります。そこで、リスクが高い状況は、従業員が出張先や会合などで、疑わしいWi-Fiに接続する場面です。仕事の際には必ずVPNを使用し、すべての従業員の業務用デバイスに強力なセキュリティソリューションを導入しておくことが安全につながります。