[特別寄稿] MITB の脅威と対策　前編

●MITBとその脅威

Man-in-the-Browser (MITB) とはコンピュータに感染したマルウェアが、ブラウザの拡張機能を用いるなどしてブラウザを乗っ取る攻撃を指します。これによって、ユーザーは本物のWebサイトにアクセスしているように見えるのにも関わらず背後で悪意ある活動が行われてしまう、というのがこの攻撃の恐ろしいところです。

●MITBによって考えられる攻撃

MITBを利用することによって考えられる攻撃は様々なものがありますが、類似手法と併せて見ると、次のような可能性が考えられます。

(1) 認証情報の窃盗
特定のIDとパスワードを入力するWebページを書き換えたりWebサーバー間で行われる通信を仲介したりすることによって、IDやパスワードを盗み取る攻撃が考えられ、実際に行われています。

(2) セッションの乗っ取り
ユーザーがオンラインバンキングなどを利用している背後で悪意ある活動 (例えば不正送金) を紛れ込ませる手段です。ユーザー自身がログインしている状態をマルウェアが悪用することによって、Webサイト側ではこの攻撃が行われていることに気づきにくくなってしまいます。これは今年明らかになったOperation High Rollerという攻撃において用いられました。

(3) 広告の書き換えや悪意あるサイトへの誘導

これは後述するGumblarや、技術的な手段はMITBではないものの2011年に犯罪グループが摘発されたことなどで話題となったDNS Changerが用いた攻撃です。このケースでは、攻撃者はWebサイトに表示されている広告を書き換える、Webサイトに悪意あるリンクを表示するなどの手口で利益を得ようとします。

●オンラインバンキングのセキュリティ対策とMITB

ここで、MITBが古典的な攻撃――特にオンラインバンキングを狙うもの――と何が違うのかについて見てみましょう。古典的な攻撃として広く用いられたものは、キーロガーなどによる認証情報 (ユーザーIDとパスワード) の窃盗と、偽サイトによるフィッシングです。これらの手法が広く用いられるようになってから、オンラインバンキングを運営する銀行は様々な対策を講ずるようになってきました。例をふたつ見てみましょう。

幾つかのオンラインバンキングにおいては、専用のソフトウェアキーボードを表示するようになっています。これはマウスを用いてユーザーIDやパスワードを入力することによって、キーロガーによって直接キーボード入力が読み取られないようにする対策です。

また特に偽サイトを通じた認証情報の窃盗を防ぐ、または継続的な被害を防止するために、二要素認証と呼ばれる追加の認証機構も導入されるようになってきています。日本のオンラインバンキングにおいては振込などの操作を行う際、専用のカードに記されている乱数表から特定の位置にある数字を入力させる例が代表的です。この対策を行うことによって今までの認証情報だけでは振込などの重要な操作を行うことができなくなるほか、仮に攻撃者が二要素認証の情報を抜き取ることに成功してもそれらを再利用することが難しくなります。

一方MITBを用いたオンラインバンキングへの攻撃はユーザーが実際に利用しているブラウザを乗っ取ってしまっているため、これらの対策をすべて無効化することができてしまいます。なぜなら、このような攻撃が行われている状況では本物のオンラインバンキングにおけるすべてのページがマルウェアによって書き換えられる可能性があるからです。

例えば本物のログイン画面やそのページが持つソフトウェアキーボードのプログラムを書き換えることによって入力されたIDやパスワードを盗むことができますし、本物の送金画面を書き換えて攻撃者の保有する不正な口座に書き換えたり、あるいはセキュリティ強化の名目で本物のURL上で二要素認証情報を盗む偽画面を表示したりすることすらできてしまうのです。

このような攻撃に気付こうとしても、MITB攻撃が行われているときユーザーのブラウザに表示されているのは本物のWebサイト (ただユーザーがそれを表示するブラウザ内で書き換えられているだけ) であるため気づくことは困難なのです。

MITBという攻撃はオンラインバンキングに特化したものではないのですが、先ほど挙げたオンラインバンキング側の対策をほとんど無効化できるという性質、またZeuSやSpyEyeといった有名な攻撃ツールがMITB機能を追加したことから近年攻撃に利用されるようになってきました。

（大居司）

著者略歴：株式会社フォティーンフォティ技術研究所　技術戦略室　リサーチエンジニア