この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

中間者攻撃の手口と対抗手段

2011/09/20


 通信元と通信先の間に攻撃者が割って入り、どちらにも悟られないように通信を盗み見て、自分の都合のよいように通信内容を改ざんし、フィッシング詐欺などの悪事をはたらくのが「中間者攻撃(Man-in-the-Middle Attack)」だ。ときには金融機関のワンタイムパスワード認証さえ破ってしまうこの攻撃はどのような仕組みなのか、そしてそれに対抗するにはどんな手立てがあるのか。今回は、中間者攻撃の脅威とそれを利用した攻撃方法のあらましを明らかにし、対策として考えられる事柄を整理する。

中間者攻撃と暗号化ツール

データセンタを陥れた中間者攻撃

 いつもどおりにPCを使ってLANやインターネットにアクセスしているつもりでも、実は通信相手はまったく別のサーバやPCだった…。そんな不気味な攻撃が中間者攻撃だ。利用者側では、本当は攻撃者のシステム、あるいは攻撃者の手中に落ちたPCにアクセスしていることには気づかない。本来の通信相手が返すであろう応答が、ほぼ完全な形で返ってくるからだ。しかしその応答には少しだけヘンなところがある。例えばWebページのコンテンツはそのままだが、ヘッダに悪意あるサイトへのリンクが埋め込まれていたりする。利用者は気づかずに悪意あるサイトに接続してしまい、ウイルス感染を図る攻撃を受けてしまう。
 実際に国内のデータセンタがホスティングしているWebサーバのネットワークがこの攻撃で被害を受けた事例(2008年)をベースに手口を紹介しよう。
 発端は内部の1台のサーバがウイルス感染したことだ。感染サーバのウイルスは、ネットワーク内に「ARPスプーフィング」と呼ばれる攻撃(後述)をしかけた。その狙いは、感染サーバをそのネットワークのゲートウェイであるかのように装うことだった。これに成功すると、ネットワーク内のサーバから外部へ向けて送信されたパケットの一部は感染サーバを経由することになった。
 感染サーバは、他のサーバから来たWebコンテンツを、本来のゲートウェイに中継した。これだけなら問題はレスポンスの低下や不安定化程度で済むはずだ。しかしこの中継の際に、感染サーバはコンテンツに<iframe>タグと攻撃コードを埋め込んでいた。
 Webページの利用者は、まったくそれに気づかず、攻撃コード入りのコンテンツを受け取った。攻撃用コードは、利用者のPCにウイルス感染を狙う攻撃を仕掛けた。

図1 ARPスプーフィングを利用した中間者攻撃の例
図1 ARPスプーフィングを利用した中間者攻撃の例

 利用者はウイルス感染するまでは攻撃の介在に気がつくことがなかった。攻撃用サイトへの接続も、それとはわからないように行われるため、いつの間にかウイルスに感染していたということになる。Webサイトのコンテンツ提供者(ホスティング利用者)の側でも、サーバ内にあるコンテンツが改ざんされたわけではないため、なかなか攻撃に気づかない。
 このように、正当な通信の間に割って入り、通信内容を好きなように書き換えられるとしたら、パスワードをはじめとする機密情報の窃取や不正サイトへの誘導、フィッシング詐欺、事業妨害、その他あらゆる攻撃がしたい放題にできることになる。後述するように、ワンタイムパスワードや、公開鍵認証によっても完全に防ぐことはできない。現在では攻撃や被害が発見されることが少なくなってはいるが、管理者は絶えず注意して、早期の発見と対策に努める必要がある。


1

中間者攻撃の手口

 中間者攻撃の代表的な手口は、上記のようなARPスプーフィングだ。加えてDNSキャッシュポイズニングもこの種の攻撃のために使われることがある。また、特に公衆無線LANのアクセススポットにおいては、偽の無線LANアクセスポイントを利用して通信の傍受と中継を行う中間者攻撃の手口にも警戒が必要だ。以下にこれらを簡単に紹介していこう。

1-1

通信を傍受する「ARPスプーフィング」とは

■ARPの役割

 中間者攻撃の被害例の多くがARPスプーフィングを利用したものだ。ARPとは、Address Resolution Protocol の略であり、日本語では「アドレス解決プロトコル」という。IPネットワークを使い2点間で通信するときには、通信元と通信先のIPアドレスとMACアドレスが必要だ。ネットワークに機器が接続された時点では、その機器は通信先の機器のMACアドレスがわからない。そこでIPアドレスをパケットにしてブロードキャストする(ARPリクエスト)。これを受けた通信機器は、自分のIPアドレスに一致する要求パケットだったら自分のMACアドレスを要求元にユニキャストで送信する(ARPリプライ)。ARPリプライのパケットを受け取った機器は、そこに書かれたMACアドレスによって送信先を特定できて通信が成立する。このやり取りをいちいち行うのは無駄なので、PCでもルータでも通信機器はIPアドレスとMACアドレスの対応関係を表(ARPテーブル)にして、一定期間保存しておく(ARPキャッシュ)。
 最近のデータセンタではARPそのものを使わない傾向があるが、一般にはARPによるアドレス解決の仕組みが使われていることがほとんどだ。

■ARPの急所

 この仕組みには、もしもARPキャッシュに保管されたテーブルを書き替えられたら、ある端末に送信したつもりのパケットが、別の端末に届いてしまうという欠陥がある。
 例えば、図2のようなネットワークがあるとしよう。この中のホストCがウイルス感染などにより、攻撃者の手に落ちたとする。ホストCは、IPアドレスが“IP_A”であるゲートウェイAに対して「“IP_B”が割り振られたホストBのMACアドレスは“MAC_C”である」という嘘のARPパケットを送りつけ、一方で“IP_B”のホストBに対しては「“IP_A”が割り振られたゲートウェイAのMACアドレスは“MAC_C”である」と、これも嘘のARPパケットを送り続ける。するとゲートウェイAもホストBも、その嘘のARPリプライが最新の情報であると認識して、既存の(正しい)ARPテーブルを書き替えてしまうのだ。

図2 正常なネットワークの例
図2 正常なネットワークの例
資料提供:IPA
図3 ホストCが攻撃者になり、ARPスプーフィングを行う例
図3 ホストCが攻撃者になり、ARPスプーフィングを行う例
資料提供:IPA

 ARPテーブルは定期的に書き換わるが、ホストCは常に偽のARPパケットを送り続けるので、正しいARPテーブルの情報が得られたとしてもすぐに書き替えられてしまう。

■ARPスプーフィングが成功すると

 ARPテーブルが図3のように書き換わると、ホストBがゲートウェイAを通して外部のサーバなどに送信しようとする内容のすべてがホストCに向かう。ホストCではその内容を盗聴したうえで、パケットを正しい宛先のMACアドレスに書き換えて送信する。
 ゲートウェイAでは外部に向けてそのパケットを送る。それに対する応答などの形で外部からホストBに向けたパケットが来ると、ゲートウェイAはホストBにそれを送るが、ゲートウェイAのARPテーブルも不正に書き替えられているので、まるごとホストCに届いてしまう。ホストCではやはり盗聴したうえで、ホストBの正しいMACアドレスに書き替えたパケットを送信する。

図4 ARPスプーフィングが成功したあとの通信の例
図4 ARPスプーフィングが成功したあとの通信の例
資料提供:IPA

 このような仕組みが裏で動いていても、ホストBの利用者はほとんど気づくことがない。ゲートウェイAでもARPプロトコルを正常に使っているだけなので、攻撃を検知することが難しい。ネットワーク監視を絶えず行っていれば、異常なARPパケットが特定の端末から送られていることがわかるのだが、とくに中小規模の企業ではそのような監視を行うことそのものが難しい。攻撃が行われていても気づかないことも多いのではないだろうか。
 以上、ARPスプーフィングの基本的な仕組みを紹介したが、実際には攻撃者に操られているホストCは単に通信を盗聴して中継するだけではなく、パケットの改ざんが行えるところがポイントだ。不正なコードを挿入したり、通信を外部の攻撃用サーバに差し向けたりすることができる。外部のサーバを利用すれば、アクセスしたPCにウイルスを感染させることもできれば、本物に偽装したオンラインバンキングの画面を表示してフィッシング詐欺を働くこともできてしまう。複数の攻撃を組み合わせれば、機密情報の外部への盗み出しなども可能になってしまう。

セキュリティ情報局にご登録頂いた方限定で「中間者攻撃の手口と対抗手段」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


中間者攻撃と暗号化ツール/中間者攻撃の手口と対抗手段」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「中間者攻撃と暗号化ツール」関連情報をランダムに表示しています。

「その他ネットワークセキュリティ関連」関連の製品

ネットワーク分離ソリューション 【アクシオ】 FortiMail 【図研ネットウエイブ】 FortiSandbox 【図研ネットウエイブ】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 ビジネスに必要なメール機能をオールインワンで提供。1つの管理画面から各機能を統合的に管理できるため、導入コストを抑えつつ運用の手間も大幅に削減する。 巧妙化する未知の脅威に対して、実効性の高い対策を可能にする統合ソリューション。二重構造のサンドボックスを基盤に、最新の脅威情報を包括的に活用して対策が取れる。

「その他ネットワークセキュリティ関連」関連の特集


外部ネットワークとは切り離され、安全と思われていた制御システムもいまや昔。APTと呼ばれる新手の攻撃…



  2016年10月26日、千葉、幕張メッセにて開催された「第6回情報セキュリティEXPO秋」にて、…



ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタ…


「その他ネットワークセキュリティ関連」関連のセミナー

働き方改革セミナーテレワーク導入に際してのセキュリティ対策 【JBアドバンスト・テクノロジー/JBサービス】 締切間近 

開催日 12月14日(水)   開催地 神奈川県   参加費 無料

我が国の労働人口における課題として、少子高齢化による急速な労働人口の減少、育児や介護による女性、中堅、管理職クラスの離職率の増加があげられます。 その中で新しい…

現状の対策を見つめ直すためのサイバーセキュリティセミナー 【九州日立システムズ】  

開催日 12月9日(金)   開催地 熊本県   参加費 無料

サイバー犯罪の最新動向とは?今の政府・行政の方針は何か?今後、企業が知っておかなければならないセキュリティ対策とは?昨今、国内ではサイバー攻撃による被害報告が相…

情報セキュリティセミナー/マイナンバー対策セミナー【福岡】 【ピーシーステーション博多/あまくさ藍ネット】  

開催日 12月10日(土)   開催地 福岡県   参加費 無料

個人事業主・中小企業の経営者・責任者・IT担当者様などに向けた最新の情報セキュリティー、及びマイナンバー対策のセミナーを実施いたします。  弊社をご利用いただい…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004298


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ