| 多要素認証を突破するAiTM攻撃とは?対策や仕組みをわかりやすく解説 | |
|---|---|
| 作成日時 26/01/13 (08:43) | View 137 |
多要素認証(MFA)の導入が常識となりつつある今、企業のセキュリティ対策は一段階上の安全性を手に入れたように思われがちです。しかし、こうした安心の前提を根底から覆す新たな攻撃手法が、広がり始めています。それがAiTM(Adversary-in-the-Middle)攻撃です。
この攻撃は、ユーザーと正規サービスとの通信を中継・傍受し、IDやパスワードだけでなく、MFAコードやセッションクッキーまでも奪取する極めて巧妙なフィッシング手法です。
本記事では、AiTM攻撃の実態とその急増の背景、そして企業が直面する現実的なリスクを整理しつつ、今すぐ取り組むべき具体的な対策を解説します。
AiTM攻撃とは、ユーザーと正規のWebサイトの間に攻撃者が介入し、リアルタイムで両者の通信を盗聴・中継することで、認証情報やセッション情報を盗む攻撃です。
従来のフィッシングは、ユーザーが偽サイトに騙されて情報を入力することが前提でしたが、AiTM攻撃は、正規サイトとのやり取りそのものに介入してしまうため、ユーザーが正しい認証情報と多要素認証のコードを入力したとしても、それらをすべて攻撃者に奪われてしまいます。
具体的にどのようなビジネスシーンで脅威となるか考えてみましょう。
たとえば、あなたがMicrosoft 365やGoogle Workspaceといったクラウドサービスへのシングルサインオン(SSO)を導入しており、セキュリティ強化のためにMFAを必須にしているとします。
しかし、AiTM攻撃では、攻撃者が中間に立ち、ユーザーが正規のログイン画面でID/パスワードとMFAコードを入力する一連の流れを、すべて傍受し、そのまま正規サイトに送信してログインを完了させてしまうのです。
そのため、攻撃者は正規セッションを乗っ取り、会社の機密情報やメールを自由に閲覧・操作できるようになってしまいます。
従来のフィッシングと異なり、AiTM攻撃の決定的な特徴は、攻撃者がユーザーと正規サーバー間の通信をリアルタイムで仲介する点にあります。この仕組みにより、認証情報だけでなく、MFAを迂回するためのセッションクッキーまでが窃取されます。
以下に、AiTM攻撃が進行し、最終的にアカウントへの不正アクセスを可能にするまでの段階的な流れを解説します。
攻撃は、巧妙に作り込まれたフィッシングメールから始まります。
このメールは、正規のサービスや同僚からの緊急通知などを装い、「アカウントの更新」や「重要ファイルの確認」など、即座のログインが必要であると誤認させる内容で受信者を誘導します。
メールに含まれるリンクは、攻撃者が用意したプロキシサーバーを経由させるためのものです。
ユーザーがフィッシングメール内のリンクをクリックすると、画面上は一見して正規のWebサイト(例:Microsoft 365のログインページ)に見えるページに遷移します。
しかし、実際には、ユーザーのブラウザと正規のWebサイトとの間のすべての通信は、攻撃者が仕掛けたプロキシサーバーによってリアルタイムで中継されています。
この状況下では、ユーザーが正規サイトとやり取りしているつもりでも、すべての通信パケットが攻撃者の手に渡っていることになります。
プロキシサーバーを介して表示されたログイン画面で、ユーザーはID(メールアドレス)とパスワードを入力します。入力された認証情報は、正規サーバーに届く前に、中間にあるプロキシサーバーによって完全に窃取されてしまうのです。
さらに、ユーザーが多要素認証を求められ、スマートフォンアプリでの承認やワンタイムパスワードを入力する際も、攻撃者のプロキシサーバーは、入力されたMFAコードもリアルタイムで正規サーバーへ転送し、ログインプロセスを完了させます。
ログインが成功すると、正規サーバーはユーザーのブラウザに対してセッションクッキーを発行します。この段階は最も危険で、クッキーもまたプロキシサーバーを経由する際に攻撃者によって盗み取られます。このセッションクッキーは、MFAが完了した後の「ログイン済み状態」を示す通行証のようなものです。これを手に入れた攻撃者は、MFAの再入力を要求されることなく、アカウントへのアクセスが可能になるのです。
攻撃者は、窃取したセッションクッキーを自身のブラウザに埋め込み、正規のWebサイトにアクセスします。サーバーは提示されたクッキーを有効なセッションであると認識し、MFAを要求することなく、攻撃者を正規ユーザーとしてログインさせてしまいます。
ユーザーがログアウトやパスワード変更を行わない限り、攻撃者はこのセッションクッキーの有効期限内は自由にアカウントを利用できる状態が続いてしまいます。
AiTM攻撃が近年、サイバーセキュリティの脅威として存在感を増している背景には、「サービスとしてのフィッシング(PhaaS: Phishing-as-a-Service)」の台頭があります。これは、高度な技術を持たない攻撃者でも、安価かつ容易にAiTM攻撃を行えるようになったことを意味します。
PhaaSとは、ダークウェブで提供されるフィッシング攻撃のサブスクリプションサービスです。従来、攻撃者はプロキシサーバーの構築やフィッシングサイトの運用、セッションクッキーの処理などを自力で行う必要があり、高度な知識が求められていました。
しかし、PhaaSの登場により状況は一変しました。PhaaS提供者は、AiTM攻撃に必要なインフラやツールをパッケージ化し、月額数百ドル程度で以下のようなサービスを提供しています。
●自動化されたプロキシサーバーの構築と管理
●Microsoft 365などを装ったフィッシングページ
●窃取情報やセッションクッキーの管理ダッシュボード
●標的へのメール配信機能
これにより、攻撃者は自らツールを開発することなく、「ログイン情報の窃取、MFAの突破、セッションの奪取」といった流れを簡単な操作で実行できるようになりました。
この結果、以下のような状況が生まれています。
●高度な知識を持たない層の参入により、攻撃者の数が急増
●初期コストや技術的障壁の低下で、大量かつ無差別な攻撃が可能に
●PhaaS提供者間の競争により、攻撃ツールの質や成功率が向上
多要素認証を導入していても、それがもはや安全の保証とはならず、より高度な認証技術やセキュリティ体制への移行が急務となっています。
AiTM攻撃が危険な問題となっているのは、その「見えない突破力」にあります。以下では、その理由を詳しく見ていきます。
AiTM攻撃の最大の危険性は、多要素認証を無力化できる点にあります。
従来、IDとパスワードに加え、生体認証やワンタイムパスワード、プッシュ通知などを組み合わせた多要素認証は、不正アクセスに対する強固な防御策とされてきました。
しかし、AiTM攻撃はユーザーと正規サイト間の通信をリアルタイムで中継することで、ユーザーが入力した認証コードをそのまま盗み出し、即座に正規サーバーへのログインに利用します。
さらに、ログイン後に発行されるセッションクッキーを奪うことで、攻撃者は「ログイン済み」の状態を再現できるようになります。一度セッションが乗っ取られれば、その後、多要素認証は求められず、継続的なアクセスが可能となります。
攻撃のきっかけとなるフィッシングメールも、AIの進化によって格段に巧妙化しています。
かつては、文法の誤りや不自然な日本語、粗雑なデザインといった不審な兆候から識別可能でしたが、現在では生成AIの活用により、自然で洗練された文章が大量に自動生成されるようになっています。
攻撃者は、SNSや公開情報を分析し、標的の関心を引きそうなテーマや業務の文脈に合わせたメールを作成します。結果、従業員は内容に疑いを持たず、リンクをクリックしてしまう可能性が高まります。
これにより、AiTM攻撃の初期段階における成功率が大幅に上昇しているのです。
AiTM攻撃のもう一つの深刻な問題は、ユーザーも管理者も、攻撃の最中に異変に気づきにくいことです。攻撃者はユーザーと正規サイトの間に割り込みつつも、ログインの操作フローは通常通りに見えるため、ユーザーは不審に感じません。
IDとパスワード、MFAコードを入力する手順も変わらず、プロキシ技術によってログイン画面のURLの違いなども巧妙に隠されます。
一方、管理者側でも、認証ログには正規の資格情報で正常にログインした記録しか残りません。セッションクッキーの盗難はログには記録されず、不正アクセスを示す明確な痕跡も見つかりにくいのが実情です。
このように、「正規に見える不正アクセス」が長期間にわたり検知されないままとなり、結果として情報流出やシステムへの深刻なダメージへとつながるのです。
ここでは、AiTM攻撃による被害リスクを抑えるために、実践的かつ優先度の高い5つの対策を紹介します。
AiTM攻撃はセッションクッキーを悪用し、MFAをすり抜けます。そのため、根本的な対策として、セッションクッキーが通用しない認証技術への移行が必要です。中でも効果的なのが、フィッシング耐性認証(Phishing-Resistant MFA, PR-MFA)です。
PR-MFAの代表例が、FIDO2(Fast IDentity Online 2)標準に準拠した物理セキュリティキー(例:YubiKeyなど)の導入です。
FIDO2は公開鍵暗号方式を用いており、認証情報をネットワーク上に送信しないため、攻撃者が通信を傍受しても有効な情報を得られません。結果として、AiTM攻撃は成立しなくなります。
全社導入が難しい場合は、まずはグローバル管理者、セキュリティ管理者、財務担当者などの重要アカウントを優先に導入しましょう。
ネットワークセグメンテーション(分離)は、侵害後の被害拡大を防ぐのに役立ちます。AiTM攻撃で一部のアカウントが乗っ取られても、攻撃者が他のネットワークにある重要情報にアクセスできないように制限することが目的です。
具体的には、ネットワークを小さなセグメントに分割し、各セグメント間の通信に厳格なアクセス制御(ファイアウォールルール、アクセス認証)を設定しましょう。たとえば、営業部門、開発部門、管理者用システムでネットワークを分離し、それぞれに独立したアクセス制御を適用するといった具合です。
仮に一般従業員のアカウントが侵害されても、管理者用のサーバーや基幹システムへの侵入は即座には不可能となり、セキュリティチームが対応する時間を確保できます。
ゼロトラストでは、ユーザーのアクセス元(場所)、使用デバイス(状態)、アクセス対象(必要性)など複数の要素を都度評価し、条件を満たした場合のみアクセスを許可します。
たとえ攻撃者がセッションを乗っ取ったとしても、使用デバイスが登録外、あるいはログイン場所が不審であれば、アクセスは拒否されるか再認証が求められます。
このように、セッションクッキーの盗難だけでは不正アクセスが成立しない環境を整えることが、ゼロトラストの本質です。
AiTM攻撃は、正規の資格情報を用いた認証を装うため、従来のセキュリティ製品では検知が困難です。そのため、異常な認証動作を検知できる分析ツール(SIEMやUEBAなど)の導入を検討しましょう。
【検出すべき異常の一例】
●地理的に矛盾するログイン:東京でのMFA直後に、数分以内に海外(例:東欧)から同じセッションでアクセス
●認証間の不自然な遅延:ID・パスワード入力とMFAコード入力の間に、通常では考えられない時間差がある
●短時間で複数の新規デバイスからのアクセス:過去に使われていない端末やブラウザからの連続的なアクセス試行
こうしたパターンを自動で検知し、即時のセッション切断やアカウントの一時停止を行う仕組みを整えることで、被害の拡大を防げます。
技術的対策をいかに強化しても、AiTM攻撃の初動であるフィッシングメールの入口は人間です。従業員一人ひとりが脅威を理解し、正しく行動することが、最後の防衛線となります。たとえば、以下のようなトレーニングを提供します。
●URLの目視確認訓練:ログイン画面のURLに不審なドメインやスペルミスがないかを確認する習慣を身につける
●誘導表現への警戒感の醸成:「緊急」「至急」「今すぐ対応」など、不安や焦りをあおる文面に反応しない
●セッションクッキーの危険性の周知:「MFAを通過しても、ログイン状態が盗まれれば被害は発生する」ことを理解させる
座学だけでなく、模擬フィッシングメール訓練を定期的に実施し、実践力と判断力を高めていくことが重要です。従業員教育こそが、最も費用対効果の高いセキュリティ対策と言えるでしょう。
最後に、AiTM攻撃に関するよくある質問に簡潔にお答えします。
ユーザーと正規サイトの通信を中継・傍受し、IDやパスワードだけでなく、多要素認証コードやセッションクッキーまで盗み出す高度なフィッシング攻撃です。攻撃者はMFAを突破し、正規ユーザーになりすまして不正アクセスを行います。
PhaaS(Phishing-as-a-Service)により、専門知識のない攻撃者でもAiTM攻撃を安価に実行できるようになったためです。また、生成AIによってフィッシングメールの精度が向上し、攻撃の成功率も高まっています。
MFAを無効化できる、ユーザーも管理者も気づきにくい、AIによって攻撃が巧妙化している、という3点が重なり、被害の発見と対応が大幅に遅れるリスクがあるためです。
FIDO2などのフィッシング耐性認証を導入し、ゼロトラストモデルへの移行と高度な認証ログ監視を実施することが有効です。さらに、ネットワークの分離と従業員への実践的なセキュリティ教育も重要です。
AiTM攻撃は、MFAを含む従来の認証プロセスを突破する高度な手法であり、企業・組織にとって現実的かつ重大な脅威です。PhaaS(Phishing-as-a-Service)の台頭とAI技術の進化により、攻撃の参入障壁が下がり、標的の数と被害の規模が急増しています。
こうした背景に対抗するには、FIDO2などのフィッシング耐性認証やゼロトラストの導入、ネットワーク分離、高度なログ監視など、技術的対策の多層化が不可欠です。また、ユーザー教育を通じてフィッシングの初期段階でのセキュリティを高めることも、長期的なリスク低減に直結します。
加えて見落とせないのが、ダークウェブ監視の強化です。
AiTM攻撃により窃取された認証情報やセッションクッキーは、攻撃者間で売買されるケースが多く、これをいち早く検知することが、被害拡大を防ぐポイントとなります。自社ドメインや重要アカウントの情報が流通していないかを継続的に監視することで、見えないリスクへの可視化と、迅速なインシデント対応が可能です。
