Man in the Browser と Man in the Middle 攻撃（CA Security Reminder）

ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。

特集特集

2013年3月18日（月） 08時00分

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

本稿は、CA Technologiesの公開資料をもとに、フィッシング詐欺やオンラインバンキングの脅威となる、Man in the Browser (MITB) と Man in the Middle(MITM) を考える。

--

●新たな脅威の出現

この数年間で、ふたつの新たなインターネットの脅威が現われました。これらの攻撃は、「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。これらの攻撃により、金融関連組織は、進化する脅威の環境においてユーザを安全に認証し、トランザクションの完全性を確実なものとする必要性に迫られています。

●MAN IN THE BROWSER

「トロイの木馬によってブラウザを攻撃する新たな脅威が出現しています。新たなトロイの木馬の新種は、ブラウザ内で形成されて容易にトランザクションを修正し、ユーザが意図したトランザクションを表示します。それらは構造的に、ユーザとブラウザのセキュリティの仕組みの間のman in the middle攻撃です。同様な手口のフィッシング攻撃とは違って、これらの新しい攻撃は、ユーザは本物のサービスとして利用し、通常通り正しくログインし、何も違いが見あたらないので、ユーザに全く気付かれません。（Philipp Guhring “Concepts against Man in the Browser Attacks” 2006）」

MITBの脅威は、リアルタイムで発生するWebトランザクションを修正できる生け贄のコンピュータ上のトロイの木馬マルウェアを使います。ユーザがOTPトークンやスマートカードおよびPKIを含む認証技術を使って金融機関に自身を認証するまでトロイの木馬は介入してきません。

一旦、本物のサイトに接続され、ユーザと金融機関の間の認証された本物のセッションがピギーバックされると、MITB攻撃はユーザのブラウザ内のトランザクションの外観を改竄します。改竄がリアルタイムで発生するため、MITBはユーザが不正に気がつきません。例えば、ユーザは口座からお金の支払い処理をし、ブラウザもそのように表示されますが、実際は、MITB攻撃者はユーザのお金を第三者の口座に送金しています。ユーザには、ユーザが意図した処理が行われたように見えますが、ユーザ自身の口座に侵入する知られざる共犯者になっているのです。

以下は、MITB攻撃がどのように成されるかの例です。

1. Aliceは$1,000をBobに送金するようリクエストします

2. MITBは$21,000をAbeに送金するようリクエストを改竄します

3. MITBは銀行に不正リクエストを提出します。

4. 銀行はAbeへの$21,000の送金確認を要求します

5. MITBは、ユーザに元のリクエストに基づく確認ページに改竄して提示します

6. Aliceは処理の詳細をレビューしてリクエストを確認します

7. 銀行は$21,000をAbeに送金します@

●Man in the Middle

MITM攻撃は、不正Webサイト上で顧客が認証情報を漏らすことを当てにしています。攻撃者は、銀行ポータルのような本物のサイト上で署名をするために正当な認証情報を転送し、正当なユーザと正当なサイトの間のリレーの役割を演じます。

MITM攻撃の尋常でないところは、ユニークなパスワードを毎回生成するワンタイムパスワード(OTP)トークンを顧客が使っているにもかかわらず、その攻撃が成功する点です。攻撃者は、ワンタイムパスワードの期限が切れる前に署名し、顧客の認証情報を銀行ポータルに即座に送ります。

以下は、MITM攻撃がどのように成されるかの例です。

1. ユーザは、フィッシングメールのリンクをクリックするとMITMサイトに導かれ、トークン生成のワンタイムパスワードを含む認証情報を入力します

2. MITMサイトは銀行のサイトに接続し、盗んだ認証情報を使って本物のユーザになりすまします。

3. 銀行サイトはMITMに口座へのアクセスを許可します。

4. MITMは、システムが利用不能と記載された偽のページをユーザに表示し、ユーザがログオフしたくなるまで待ち、ログオフを確認する偽のページを表示します。

顧客とポータルの間のトラフィックを傍受することによって、MITM攻撃者は以下のことができます。

・ユーザの認証情報を取得し、本物のユーザに成りすましてポータルへのアクセスを試みます。(認証情報が固定パスワードの場合)

・「一時的なシステムダウン」や「ログインできません」というメッセージを表示して、ポータルが使用不能であるとユーザが思っている間にログインします(OTPトークンのように認証情報が動的である場合)

・システムにログインし、ユーザがセッションを止めようとするまでユーザとポータルの間のすべての活動をリレーします。そして、ユーザアカウントでログインしたまま「ログオフしました」とのメッセージを表示します。(OTPトークンのように認証情報が動的である場合)

（※この記事は「Man in the Browserおよび Man in the Middle攻撃からオンライン顧客を保護」の一部を抜粋しました）

Man in the Browser と Man in the Middle 攻撃（CA Security Reminder）

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」～生成 AI 活用した調査ツール 11 種

金正恩国家主席サイバー戦力を２倍に拡充する方針ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性（Scan Tech Report）

割のいいリゾートバイト求人その実態は暗号資産詐欺の奴隷労働：FBI 注意勧告

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」～ 生成 AI 活用した調査ツール 11 種

金正恩国家主席 サイバー戦力を２倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性（Scan Tech Report）

割のいいリゾートバイト求人 その実態は暗号資産詐欺の奴隷労働：FBI 注意勧告

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

金正恩国家主席 サイバー戦力を２倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]

ケービデバイス製デジタルビデオレコーダに複数の脆弱性

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性（Scan Tech Report）

WordPress Social Loginプラグインに脆弱性

「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起

WordPressサイトの複合的な強化を行う Jetpack プラグインに脆弱性

インシデント・事故 記事一覧へ

Kyashの一部決済取引に関する不具合、退会済みの会員には振込で返金

電通国際情報サービスに不正アクセス、一般ユーザー権限でのデータ参照の形跡

三重県自治体情報セキュリティクラウドにサイバー攻撃、ホームページに閲覧障害

中古車「ガリバー」のIDOMにランサムウェア攻撃、個人データを閲覧された可能性を否定できず

IDOMへのランサムウェア攻撃、業務システムを共有する子会社のIDOM CaaS Technologyでも被害

NHK放送文化研究所、世論調査対象者1,200人分の個人情報記載資料を紛失

調査・レポート・白書・ガイドライン 記事一覧へ

取締役会の9割超がサイバー攻撃対策に関心 8割超がセキュリティ増員 ～ フォーティネット調査

ランサムウェア身代金支払率、日本は国際トレンドに逆行 ～ プルーフポイント年次レポート

ランサムウェア身代金 払い続けた世界の末路 ～ ウィズセキュアが犯罪のプロ化警鐘

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023

ランサムウェア攻撃の 93％がバックアップストレージを標的に

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

研修・セミナー・カンファレンス 記事一覧へ

改訂 ISMS への移行や認証に必要な対策は？ セコムトラストシステムズの現役コンサルタントが 6/22 解説

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ～ TwoFive 桐原氏講演

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣

ヤバいデモで会場沸かす ～ SMS で 2FA 迂回する「Smishsmash」

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際～日本プルーフポイント講演レポート

製品・サービス・業界動向 記事一覧へ

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」～ 生成 AI 活用した調査ツール 11 種

徳島県医療政策課、県内1,009の病院と診療所のサイバーセキュリティ対策強化

SHIFT SECURITY 創業7年、未経験採用/直接雇用の脆弱性診断士約250名体制に

脆弱性管理プラットフォーム「S4」無償プランの新規申込受付再開

非エンジニアの文系ライターが挑んだSecuriST（セキュリスト）認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら

最大16年の長期サポート、サイバートラストが「AlmaLinux OS」 を Neutrix Cloud 上で提供

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

Scan PREMIUM 創刊24周年記念キャンペーン実施中

ScanNetSecurity 創刊24周年御礼の辞（上野宣）

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」～生成 AI 活用した調査ツール 11 種

金正恩国家主席サイバー戦力を２倍に拡充する方針ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]

割のいいリゾートバイト求人その実態は暗号資産詐欺の奴隷労働：FBI 注意勧告

脆弱性と脅威記事一覧へ

金正恩国家主席サイバー戦力を２倍に拡充する方針ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]

「日本で撮影されたUFO」写真からサポート詐欺に誘導トレンドマイクロ注意喚起

インシデント・事故記事一覧へ

調査・レポート・白書・ガイドライン記事一覧へ

取締役会の9割超がサイバー攻撃対策に関心 8割超がセキュリティ増員～フォーティネット調査

ランサムウェア身代金支払率、日本は国際トレンドに逆行～プルーフポイント年次レポート

ランサムウェア身代金払い続けた世界の末路～ウィズセキュアが犯罪のプロ化警鐘

中露北のサイバー攻撃主体を紹介、公安調査庁サイバー脅威概況2023

研修・セミナー・カンファレンス記事一覧へ

改訂 ISMS への移行や認証に必要な対策は？セコムトラストシステムズの現役コンサルタントが 6/22 解説

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催～ TwoFive 桐原氏講演

東京都が中小企業のセキュリティ対策支援セミナーやワークショップ専門家派遣

ヤバいデモで会場沸かす～ SMS で 2FA 迂回する「Smishsmash」

サイバーセキュリティ対策のための統一基準ガイドライン(案)に明記されたDMARC対応、その導入の実際～日本プルーフポイント講演レポート

製品・サービス・業界動向記事一覧へ

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」～生成 AI 活用した調査ツール 11 種

最大16年の長期サポート、サイバートラストが「AlmaLinux OS」を Neutrix Cloud 上で提供

おしらせ記事一覧へ

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ