危険な中間者攻撃から身を守るには
セキュリティを高めたい
「中間者攻撃」って、どんな攻撃ですか?難しそうな言葉でよく分かりません。
情報セキュリティ専門家
そうね。「中間者攻撃」は、二人の人が手紙のやり取りをしているところに、悪者がこっそり入り込んでしまうようなものだと考えてみて。
セキュリティを高めたい
手紙のやり取りに、入り込むって…どういうことですか?
情報セキュリティ専門家
例えば、あなたが友達に手紙を送ると、途中で悪者がその手紙を盗み見たり、中身を書き換えたりするのよ。そして、悪者はあたかも自分が友達のように装って、あなたに偽の手紙を送りつけることもできるの。これが「中間者攻撃」よ。
中間者攻撃とは。
「情報を守ることについての言葉、『なりすまし攻撃』は、本来は二人だけで行われるやり取りに、第三者がこっそり入り込み、情報を盗み見たり、書き換えたりする攻撃のことです。英語では『Man in the Middle Attack』と言うので、『MITM攻撃』や『MitM攻撃』と略して書かれることもあります。攻撃する人は、標的のやり取りに割り込み、インターネット上の会員証であるログイン情報やパスワード、クレジットカードの情報などを盗み取ります。なりすまし攻撃のやり方は色々あり、安全対策がされていないWiFiを使って情報を盗み見たり、ホームページを見ている人とホームページの間で行われているやり取りを盗み見たり、ホームページの住所を偽物にすり替えて、偽物のホームページに誘導し、そこで行われるやり取りを盗み見たりします。ちなみに、『Man』という言葉は男性を指す言葉なので、アメリカ国立標準技術研究所は、男性だけを指す言葉ではない『Machine in the Middle 攻撃』や『On Path 攻撃』という言葉を使うように呼びかけています。同じような攻撃を指す言葉として、『Adversary in the Middle 攻撃』と書いて『AitM攻撃』と略す言葉もあります。
見えない脅威、中間者攻撃とは
インターネットの世界では、日々膨大な量のデータが行き交っています。メールの送受信、ネットショッピング、オンラインバンキングなど、私たちの生活はインターネット抜きでは考えられないほどになっています。しかし、その利便性の裏には、目に見えない脅威も潜んでいます。その一つが、「中間者攻撃」と呼ばれるものです。
これは、二人の間で行われている通信に、第三者がこっそりと入り込み、情報を盗み見たり、改ざんしたりする攻撃です。例えば、あなたがオンラインショッピングでクレジットカード情報を入力したとします。この時、もしもあなたが中間者攻撃を受けていると、その情報は攻撃者に知られてしまう可能性があります。
攻撃者は、まるで会話中の二人組の間に、気づかれないように入り込む盗聴者のようです。話を盗み聞きするだけでなく、嘘の情報を伝えたりすることもあります。そのため、あなたは自分が攻撃を受けていることに気づかないまま、被害に遭ってしまう可能性もあるのです。
この攻撃は、英語では「Man-in-the-Middle Attack」と呼び、略して「MITM攻撃」や「MitM攻撃」とも呼ばれます。インターネットを利用する際には、このような危険が潜んでいることを認識し、セキュリティ対策をしっかりと行うことが重要です。
攻撃 | 概要 | 例 |
---|---|---|
中間者攻撃 (Man-in-the-Middle Attack, MITM攻撃, MitM攻撃) |
二人の間の通信に第三者が侵入し、情報盗視や改ざんを行う攻撃。 | オンラインショッピングでのクレジットカード情報入力時に、攻撃者が情報を盗み見る。 |
中間者攻撃の狙いとは
– 中間者攻撃の狙いとは?インターネット上における盗聴行為とも表現できる中間者攻撃。その最大の目的は、利用者の知らぬ間に重要な個人情報を盗み取ることにあります。私たちが普段何気なく利用しているウェブサイト。そのログイン時に求められるIDやパスワード、オンラインショッピングでのクレジットカード情報などは、まさに攻撃者の狙い目です。例えば、私たちがインターネットバンキングを利用する際を想像してみましょう。もし、あなたが利用している回線が中間者攻撃を受けていると、入力したIDやパスワードは攻撃者に筒抜けになってしまいます。攻撃者は盗み出した情報を利用して、あなたの口座に不正にアクセスし、預金を盗み出すかもしれません。また、オンラインショッピングで入力したクレジットカード情報も同様に危険にさらされます。攻撃者は盗み出した情報で、あなたのクレジットカードを不正利用し、高額な商品を購入したり、海外のサイトで不正決済を行ったりする可能性があります。中間者攻撃は、私たちが気付かないうちに進行し、金銭的な被害だけでなく、プライバシーの侵害にも繋がる危険性をはらんでいます。そのため、その仕組みや対策を理解し、自らの身を守ることが重要です。
攻撃の目的 | 具体的な例 | 被害内容 |
---|---|---|
利用者の重要な個人情報を盗み取る |
|
|
さまざまな中間者攻撃の手口
インターネット上でやり取りされる情報を盗み見る攻撃として、「中間者攻撃」が挙げられます。これは、本来は直接やり取りされるべき情報を、攻撃者が間に入って盗聴したり、改ざんしたりする行為です。
この中間者攻撃は、さまざまな方法を用いて仕組まれます。例えば、セキュリティ対策が十分でない無料のWi-Fiを例に考えてみましょう。誰もが利用できるアクセスポイントには、悪意を持った第三者が潜んでいる可能性があります。彼らはこのような場所で、私たちがインターネットに接続するのを待ち構えているのです。そして、私たちが何気なく利用している間に、通信内容をこっそりと盗み見て、パスワードやクレジットカード情報などの重要な個人情報を盗み取ろうとします。
また、巧妙な技術を駆使して、ウェブサイトと私たちの端末との間でやり取りされる情報を盗聴するケースもあります。本来は暗号化されて安全性が確保されている通信経路に、攻撃者が入り込むことで、情報を盗み見ようとするのです。
さらに、アクセスしようとしているウェブサイトのアドレス情報を、そっくり似た偽の情報に書き換えることで、私たちを偽のウェブサイトに誘導するケースもあります。これは、私たちが正しいアドレスを入力したつもりでも、攻撃者の仕掛けた罠によって、偽のページに誘導されてしまうというものです。そして、偽のウェブサイトで入力した情報(IDやパスワードなど)は、そのまま攻撃者の手に渡ってしまいます。
このように、中間者攻撃は、私たちが気づかないうちに、さまざまな形で仕掛けられている可能性があるため、注意が必要です。
攻撃手法 | 説明 |
---|---|
セキュリティの甘いWi-Fiの利用 | 無料のWi-Fiスポットなどに潜み、通信内容を盗聴し、パスワードやクレジットカード情報を盗み取る。 |
通信経路の盗聴 | 暗号化された通信経路に侵入し、情報を盗み見ようとする。 |
偽のウェブサイトへの誘導 | アクセス先のアドレスを偽の情報に書き換え、偽サイトに誘導し、IDやパスワードを盗み取る。 |
性差別や偏見をなくすための表現
近年、科学技術の分野で使用される言葉の中に、性別による差別や偏見を生む可能性のあるものが存在することに、多くの人が気付き始めています。例えば、ネットワーク上の攻撃手法の一つである「Man-in-the-Middle攻撃」という言葉も、その代表例と言えるでしょう。
この「Man-in-the-Middle攻撃」という言葉は、まるで攻撃者が男性でなければならないかのような印象を与えてしまうため、性別に偏った表現であるという指摘があります。
そこで、アメリカの国家機関である国立標準技術研究所は、この「Man-in-the-Middle攻撃」という表現を使うことをやめ、「機械が介在する攻撃」という意味の「Machine-in-the-Middle攻撃」や、「通信経路上での攻撃」を指す「On-Path攻撃」といった、性別に関わらず誰でも理解できる言葉を使うことを推奨しています。
このような表現の見直しは、技術の世界だけでなく、社会全体で男女平等を実現するために非常に大切です。言葉は私たちの思考や行動に大きな影響を与えるため、性差別や偏見のない言葉を使うことで、誰もが平等に扱われる社会を実現していくことが期待されます。
従来の表現 | 推奨される表現 | 備考 |
---|---|---|
Man-in-the-Middle攻撃 | Machine-in-the-Middle攻撃 On-Path攻撃 |
性別を想起させる表現を避ける |
新たな用語「オンパス攻撃」
近年、情報セキュリティの分野で、「オンパス攻撃」という新しい用語が使われ始めています。これは、従来「中間者攻撃」や「Man-in-the-Middle攻撃」と呼ばれていた攻撃と同じものを指します。従来の「Man-in-the-Middle攻撃」という言葉は、攻撃者がまるで人のように振る舞うイメージを与え、また、「Man」という言葉が性別に関するイメージを想起させることから、より中立的な表現が求められていました。そこで登場したのが「オンパス攻撃」です。「オンパス」とは、通信経路上にあることを意味し、攻撃者が通信の経路に存在して情報を盗み見たり、改ざんしたりする攻撃であることを表しています。
この「オンパス攻撃」という言葉は、シンプルでわかりやすく、性別に関係なく理解しやすいというメリットがあります。また、特定のイメージを想起させないため、より客観的に攻撃を捉えることができます。情報セキュリティの専門家の間では、今後、「オンパス攻撃」が「中間者攻撃」に代わる言葉として広く普及していくと予想されています。
従来の用語 | 新しい用語 | 説明 |
---|---|---|
中間者攻撃 Man-in-the-Middle攻撃 |
オンパス攻撃 | 通信経路上に位置する攻撃者が、情報の盗聴や改ざんを行う攻撃 |