IT用語/MITM、MITB、BITB

MITM、MITB、BITB(2014-10-06)



MITM(Man In The Middle attack:中間者攻撃)

通信する二者間の中間に入る攻撃方法。

例えば

  1. 太郎さんがnull-i.netにアクセスしようとします。
    (太郎 -> null-i.net)
  2. そこに攻撃者である次郎さんが、太郎さんの通信に割り込んでnull-i.netになりすまします。
    (太郎 -> 次郎 -> null-i.net)
  3. 太郎さんはnull-i.netと通信しているつもりが、実は通信はすべて次郎さんに盗聴・改ざんされていた、というわけです。

ではどうやって通信に割り込むのか?色々あると思うのですが例えば

とか、でしょうか。

対策としては、通信相手を正しく認証したり暗号化で盗聴できないようにする必要があります。
一般的な公開鍵暗号であれば公開鍵基盤(PKI)を使って、第三者に身元を証明させる方法があります。

MITB(Man In The Browser)

Webブラウザの通信を監視して、狙った通信を検出すると乗っ取る攻撃。
こちらはクライアント側に常駐するトロイの木馬等のマルウェアで行う。
クライアント側内部の事なので暗号化も無効、途中からの乗っ取りなので認証も回避できてしまい、ユーザ側で気づくことが難しくなります。

例えば、ネットバンキングで正規にログインして振り込み操作を行うまでの通信を盗聴して必要な個人情報を収集する。
いざ振り込みを行うタイミングで乗っ取り、偽の口座(ミュール口座)に送金させる。

ここまでくると、ウィルスに感染した時点でアウト?でしょうか・・・
強いて言えば、送金内容の確認メールとかの事後確認ならば行えるのでしょうが。

BITB(Boy In The Browser)

やりたいことはMITBに近い。Man→Boyへの亜種。
こちらは「感染した後、最初の一回だけ」ドメイン名とIPアドレスの紐づけを書き換えることで、攻撃用サーバへ誘導する。
MITBのように高度なことはやらない反面、マルウェアの作成の敷居が低い上に、一回やったら証拠も隠滅するので、アンチウィルスソフトでの検出も難しい。


  最終更新のRSS