Man in the Browser と Man in the Middle 攻撃(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.22(木)

Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。

特集 特集
Man in the Browser (MITB) 攻撃
Man in the Browser (MITB) 攻撃 全 2 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

本稿は、CA Technologiesの公開資料をもとに、フィッシング詐欺やオンラインバンキングの脅威となる、Man in the Browser (MITB) と Man in the Middle(MITM) を考える。

--

●新たな脅威の出現

この数年間で、ふたつの新たなインターネットの脅威が現われました。これらの攻撃は、「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。これらの攻撃により、金融関連組織は、進化する脅威の環境においてユーザを安全に認証し、トランザクションの完全性を確実なものとする必要性に迫られています。

●MAN IN THE BROWSER

「トロイの木馬によってブラウザを攻撃する新たな脅威が出現しています。新たなトロイの木馬の新種は、ブラウザ内で形成されて容易にトランザクションを修正し、ユーザが意図したトランザクションを表示します。それらは構造的に、ユーザとブラウザのセキュリティの仕組みの間のman in the middle攻撃です。同様な手口のフィッシング攻撃とは違って、これらの新しい攻撃は、ユーザは本物のサービスとして利用し、通常通り正しくログインし、何も違いが見あたらないので、ユーザに全く気付かれません。(Philipp Guhring “Concepts against Man in the Browser Attacks” 2006)」

MITBの脅威は、リアルタイムで発生するWebトランザクションを修正できる生け贄のコンピュータ上のトロイの木馬マルウェアを使います。ユーザがOTPトークンやスマートカードおよびPKIを含む認証技術を使って金融機関に自身を認証するまでトロイの木馬は介入してきません。

一旦、本物のサイトに接続され、ユーザと金融機関の間の認証された本物のセッションがピギーバックされると、MITB攻撃はユーザのブラウザ内のトランザクションの外観を改竄します。改竄がリアルタイムで発生するため、MITBはユーザが不正に気がつきません。例えば、ユーザは口座からお金の支払い処理をし、ブラウザもそのように表示されますが、実際は、MITB攻撃者はユーザのお金を第三者の口座に送金しています。ユーザには、ユーザが意図した処理が行われたように見えますが、ユーザ自身の口座に侵入する知られざる共犯者になっているのです。

以下は、MITB攻撃がどのように成されるかの例です。

1. Aliceは$1,000をBobに送金するようリクエストします

2. MITBは$21,000をAbeに送金するようリクエストを改竄します

3. MITBは銀行に不正リクエストを提出します。

4. 銀行はAbeへの$21,000の送金確認を要求します

5. MITBは、ユーザに元のリクエストに基づく確認ページに改竄して提示します

6. Aliceは処理の詳細をレビューしてリクエストを確認します

7. 銀行は$21,000をAbeに送金します@

●Man in the Middle

MITM攻撃は、不正Webサイト上で顧客が認証情報を漏らすことを当てにしています。攻撃者は、銀行ポータルのような本物のサイト上で署名をするために正当な認証情報を転送し、正当なユーザと正当なサイトの間のリレーの役割を演じます。

MITM攻撃の尋常でないところは、ユニークなパスワードを毎回生成するワンタイムパスワード(OTP)トークンを顧客が使っているにもかかわらず、その攻撃が成功する点です。攻撃者は、ワンタイムパスワードの期限が切れる前に署名し、顧客の認証情報を銀行ポータルに即座に送ります。

以下は、MITM攻撃がどのように成されるかの例です。

1. ユーザは、フィッシングメールのリンクをクリックするとMITMサイトに導かれ、トークン生成のワンタイムパスワードを含む認証情報を入力します

2. MITMサイトは銀行のサイトに接続し、盗んだ認証情報を使って本物のユーザになりすまします。

3. 銀行サイトはMITMに口座へのアクセスを許可します。

4. MITMは、システムが利用不能と記載された偽のページをユーザに表示し、ユーザがログオフしたくなるまで待ち、ログオフを確認する偽のページを表示します。

顧客とポータルの間のトラフィックを傍受することによって、MITM攻撃者は以下のことができます。

・ユーザの認証情報を取得し、本物のユーザに成りすましてポータルへのアクセスを試みます。(認証情報が固定パスワードの場合)

・「一時的なシステムダウン」や「ログインできません」というメッセージを表示して、ポータルが使用不能であるとユーザが思っている間にログインします(OTPトークンのように認証情報が動的である場合)

・システムにログインし、ユーザがセッションを止めようとするまでユーザとポータルの間のすべての活動をリレーします。そして、ユーザアカウントでログインしたまま「ログオフしました」とのメッセージを表示します。(OTPトークンのように認証情報が動的である場合)

(※この記事は「Man in the Browserおよび Man in the Middle攻撃からオンライン顧客を保護」の一部を抜粋しました)

《CA Technologies》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

    不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

  2. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  3. サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

    サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

  4. Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

    Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

  5. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  6. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  7. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  8. 「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

    「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

  9. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

    毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したかPR

  10. マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

ランキングをもっと見る