年次イベント”CrowdTour”ご登録受付中!TOKYO(5/22開催)ご登録はこちら | OSAKA( 5/21開催)ご登録はこちら

中間者攻撃(MITM)とは?

中間者攻撃は、攻撃者が2つ標的間の通信を傍受するタイプのサイバー攻撃です。攻撃者は、2人のユーザー、2つのシステム、または1人のユーザーと1つのシステムの間の通信を「傍受」しようとします。

MITM攻撃の目的は、個人データ、パスワード、または銀行の詳細情報を収集したり、被害者に何らかのアクションを起こさせるように仕向ける(ログイン認証情報の変更、トランザクションの完了、資金移動の開始など)ことです。

クラウドストライク
2025年版
グローバル脅威
レポート

クラウドストライク
2025年版
グローバル脅威
レポート

必読の年次サイバーセキュリティレポートをご覧ください。

ダウンロード

MITM攻撃者は、多くの場合、個人を標的にしますが、企業や大規模な組織にとっても重大な問題です。ハッカーがアクセスする一般的な経路の一つは、メッセージングサービス、ファイルストレージシステム、またはリモートワークアプリケーションなどのSaaS(Software as a Service)アプリケーションです。攻撃者は、これらのアプリケーションを組織の広範なネットワークの入口として使用して、顧客データ、知的財産 (IP)、組織とその従業員に関する機密情報など数多くのアセットを侵害する可能性があります。

中間者 (MitM) 攻撃の仕組み

MITM攻撃は、主に傍受と復号化の2つのフェーズで構成されています。

フェーズ1:傍受

傍受フェーズでは、サイバー犯罪者は公衆Wi-Fiルーターまたは安全性の低いWi-Fiルーターを経由するか、ドメインネームシステム(DNS)サーバーを操作することでネットワークにアクセスします。次に、攻撃者はルーターをスキャンして脆弱性とエントリポイントとなる場所を探します。これは多くの場合、パスワードが弱いと実行されますが、サイバー犯罪者は、IPスプーフィングやキャッシュポイズニングなどのより高度な方法を使用する場合もあります。

標的が特定されると、攻撃者はデータ収集ツールを展開し、被害者が転送したデータにアクセスして収集し、トラフィックを戦略的にリダイレクトするか、そうでない場合はユーザーのウェブエクスペリエンスを操作します。

フェーズ2:復号化

MITM攻撃の第2段階は復号化です。この段階で、盗まれたデータが復号化され、サイバー犯罪者が理解できるようになります。復号化されたデータは、アイデンティティの窃取、不正な購入、不正な銀行手続きなど、数多くの不正行為に利用されます。一部の中間者 (MitM) 攻撃は、企業の運営を中断させ、被害者を混乱させる以外に特に目的なく実行される場合があります。

MITMの手法

サイバー犯罪者は、さまざまな手法を用いてMITM攻撃を実行します。一般的な手法は、以下のとおりです。

  • 確立されたインターネットプロトコル (IP) を模倣して、個人情報を提供するようユーザーをだましたり、銀行振り込みやパスワード変更など、目的のアクションを促したりする
  • 既知の移動先から偽のWebサイトにユーザーをリダイレクトしてトラフィックを迂回させ、ログイン認証情報やその他の個人情報を収集する
  • Wi-Fiアクセスポイントをシミュレーションして、Webでのアクティビティを傍受し、個人情報を収集する
  • 不正なセキュアソケットレイヤー (SSL) 証明書を作成し、接続が侵害されていても、ユーザーに安全な接続であると見せかける
  • トラフックをセキュリティ保護されていないWebサイトにリダイレクトし、ログイン認証情報や個人情報を収集する
  • EメールなどのWebアクティビティを傍受して、個人情報を収集し、フィッシング行為などのさらなる不正なアクティビティを実行する
  • 個人情報が含まれているブラウザのCookieを盗み出す

中間者 (MitM) 攻撃の例

最近クラウドストライクにより特定されたMITM攻撃者に、shaDllと呼ばれるTrickbotモジュールがありました。このモジュールは、感染したコンピューターに不正なSSL証明書をインストールして、ツールからユーザーのネットワークにアクセスできるようにするものでした。その後、このモジュールでWebアクティビティをリダイレクトし、コードを挿入し、スクリーンショットを撮り、データを収集できました。

この攻撃で特に興味深いのは、2つの既知のサイバー犯罪グループのLUNAR SPIDERとWIZARD SPIDERが明らかに協力していたことです。このモジュールは、LUNAR SPIDERのBokBotプロキシモジュールを基盤として使用し、WIZARD SPIDERのTrickBotモジュールを展開して、攻撃を完了するものでした。この2つの攻撃者同士の協業があり得るということは、MITM攻撃が高度になっており、意識の向上が必要であることを示しています。

中間者 (MitM) 攻撃の防御

以下の推奨事項を実施すると、お客様のネットワークをMITM攻撃から守ることができます。

  • ネットワークユーザーに強力なパスワードを作成し、定期的に変更するよう求める
  • すべてのネットワークアセットとアプリケーションに対してMFA(多要素認証)を有効にする
  • 強力な暗号化プロトコルを開発して展開する
  • すべてのネットワークアセットに仮想プライベートネットワーク (VPN) 機能を備える
  • 包括的な脅威モニタリングと検知ソリューションを展開する
  • ネットワークをセグメント化して、侵害を確実に隔離する
  • 公衆Wi-Fiネットワークの危険性について従業員を教育する

中間者 (MitM) 攻撃の検知機能を個人がインストールすることは現実的ではないかもしれませんが、一般的なサイバーセキュリティ技術に従うと、侵入を防ぐことができます。各ユーザーには、以下のベストプラクティスを推奨します。

  • マルウェア検知セキュリティソフトウェアをインストールする
  • 強力なパスワードを作成し、定期的に変更する
  • 多要素認証機能を有効にする
  • 公衆Wi-Fiネットワークや安全性の低いパブリックネットワークの使用を避ける
  • URLが「https://」で始まる安全なウェブサイトを常に使用する

カート・ベーカー(Kurt Baker)は、クラウドストライクのFalcon Intelligenceの製品マーケティング担当シニアディレクターです。同氏は、新興ソフトウェア企業を専門とする上級管理職で25年以上の経験があります。サイバー脅威インテリジェンス、セキュリティ分析、セキュリティ管理、高度な脅威保護に関する専門知識があります。クラウドストライクに入社する前は、Tripwireで技術的な役割を果たし、エンタープライズセキュリティソリューションからモバイルデバイスに至るまでの市場でスタートアップを共同設立したことがあります。ワシントン大学で文学士号を取得し、現在はマサチューセッツ州ボストンで活動しています。