Man in the Browser と Man in the Middle 攻撃（CA Security Reminder）

ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。

特集特集

2013年3月18日（月） 08時00分

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

本稿は、CA Technologiesの公開資料をもとに、フィッシング詐欺やオンラインバンキングの脅威となる、Man in the Browser (MITB) と Man in the Middle(MITM) を考える。

--

●新たな脅威の出現

この数年間で、ふたつの新たなインターネットの脅威が現われました。これらの攻撃は、「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。これらの攻撃により、金融関連組織は、進化する脅威の環境においてユーザを安全に認証し、トランザクションの完全性を確実なものとする必要性に迫られています。

●MAN IN THE BROWSER

「トロイの木馬によってブラウザを攻撃する新たな脅威が出現しています。新たなトロイの木馬の新種は、ブラウザ内で形成されて容易にトランザクションを修正し、ユーザが意図したトランザクションを表示します。それらは構造的に、ユーザとブラウザのセキュリティの仕組みの間のman in the middle攻撃です。同様な手口のフィッシング攻撃とは違って、これらの新しい攻撃は、ユーザは本物のサービスとして利用し、通常通り正しくログインし、何も違いが見あたらないので、ユーザに全く気付かれません。（Philipp Guhring “Concepts against Man in the Browser Attacks” 2006）」

MITBの脅威は、リアルタイムで発生するWebトランザクションを修正できる生け贄のコンピュータ上のトロイの木馬マルウェアを使います。ユーザがOTPトークンやスマートカードおよびPKIを含む認証技術を使って金融機関に自身を認証するまでトロイの木馬は介入してきません。

一旦、本物のサイトに接続され、ユーザと金融機関の間の認証された本物のセッションがピギーバックされると、MITB攻撃はユーザのブラウザ内のトランザクションの外観を改竄します。改竄がリアルタイムで発生するため、MITBはユーザが不正に気がつきません。例えば、ユーザは口座からお金の支払い処理をし、ブラウザもそのように表示されますが、実際は、MITB攻撃者はユーザのお金を第三者の口座に送金しています。ユーザには、ユーザが意図した処理が行われたように見えますが、ユーザ自身の口座に侵入する知られざる共犯者になっているのです。

以下は、MITB攻撃がどのように成されるかの例です。

1. Aliceは$1,000をBobに送金するようリクエストします

2. MITBは$21,000をAbeに送金するようリクエストを改竄します

3. MITBは銀行に不正リクエストを提出します。

4. 銀行はAbeへの$21,000の送金確認を要求します

5. MITBは、ユーザに元のリクエストに基づく確認ページに改竄して提示します

6. Aliceは処理の詳細をレビューしてリクエストを確認します

7. 銀行は$21,000をAbeに送金します@

●Man in the Middle

MITM攻撃は、不正Webサイト上で顧客が認証情報を漏らすことを当てにしています。攻撃者は、銀行ポータルのような本物のサイト上で署名をするために正当な認証情報を転送し、正当なユーザと正当なサイトの間のリレーの役割を演じます。

MITM攻撃の尋常でないところは、ユニークなパスワードを毎回生成するワンタイムパスワード(OTP)トークンを顧客が使っているにもかかわらず、その攻撃が成功する点です。攻撃者は、ワンタイムパスワードの期限が切れる前に署名し、顧客の認証情報を銀行ポータルに即座に送ります。

以下は、MITM攻撃がどのように成されるかの例です。

1. ユーザは、フィッシングメールのリンクをクリックするとMITMサイトに導かれ、トークン生成のワンタイムパスワードを含む認証情報を入力します

2. MITMサイトは銀行のサイトに接続し、盗んだ認証情報を使って本物のユーザになりすまします。

3. 銀行サイトはMITMに口座へのアクセスを許可します。

4. MITMは、システムが利用不能と記載された偽のページをユーザに表示し、ユーザがログオフしたくなるまで待ち、ログオフを確認する偽のページを表示します。

顧客とポータルの間のトラフィックを傍受することによって、MITM攻撃者は以下のことができます。

・ユーザの認証情報を取得し、本物のユーザに成りすましてポータルへのアクセスを試みます。(認証情報が固定パスワードの場合)

・「一時的なシステムダウン」や「ログインできません」というメッセージを表示して、ポータルが使用不能であるとユーザが思っている間にログインします(OTPトークンのように認証情報が動的である場合)

・システムにログインし、ユーザがセッションを止めようとするまでユーザとポータルの間のすべての活動をリレーします。そして、ユーザアカウントでログインしたまま「ログオフしました」とのメッセージを表示します。(OTPトークンのように認証情報が動的である場合)

（※この記事は「Man in the Browserおよび Man in the Middle攻撃からオンライン顧客を保護」の一部を抜粋しました）

Man in the Browser と Man in the Middle 攻撃（CA Security Reminder）

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性

TvRock にサービス運用妨害（DoS）と CSRF の脆弱性

NETGEAR 製ルータにバッファオーバーフローの脆弱性

RoamWiFi R10 に複数の脆弱性

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

Armeria-saml に SAML メッセージ取り扱い不備

インシデント・事故 記事一覧へ

雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

笛吹市商工会へのサポート詐欺被害、調査結果公表

調査・レポート・白書・ガイドライン 記事一覧へ

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

国内カード発行会社のドメイン毎の DMARC 設定率 36.2％「キャッシュレスセキュリティレポート（2023年10-12月版）」公表

社員のセキュリティ意欲高める施策とは？ 罰則は逆効果 ～ プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか ～ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス 記事一覧へ

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

スペシャリスト集結！ マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

製品・サービス・業界動向 記事一覧へ

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加

研究開発の推進責務が撤廃ほか ～「NTT法」改正法律成立を受け NTT がコメント

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース

情報処理学会、高等学校情報科の全教科書の用語リスト公開

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

雨庵金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

調査・レポート・白書・ガイドライン記事一覧へ

重い高い検索も使いにくいメールを企業の 6 割が使う理由

社員のセキュリティ意欲高める施策とは？罰則は逆効果～プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか～ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス記事一覧へ

スペシャリスト集結！マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

製品・サービス・業界動向記事一覧へ

研究開発の推進責務が撤廃ほか～「NTT法」改正法律成立を受け NTT がコメント

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ