「カフェのフリーWi-Fiで業務メールを確認したら、ログイン情報が漏れていた」「社内ネットワークなのに、通信を盗聴されていた」――こうした事故は、実は珍しくありません。
その原因の一つが、中間者攻撃(MITM攻撃、Man-in-the-Middle Attack)です。通信の「あいだ」に割り込み、やり取りされるデータを盗み見たり改ざんしたりするこの攻撃は、暗号化が普及した現在でもさまざまな手口で仕掛けられています。
この記事では、中間者攻撃の仕組み・代表的な攻撃手法・具体的な防御策について、現場で使えるレベルで解説します。リモートワークや公衆Wi-Fiの利用が増えた今、インフラ担当者だけでなくすべてのITに関わる方が押さえておくべき内容です。
中間者攻撃(MITM)とは?なぜ今でも脅威なのか
中間者攻撃(MITM攻撃)とは、通信を行う二者(たとえばユーザーとWebサーバー)のあいだに攻撃者が割り込み、通信内容を盗聴・改ざんする攻撃手法です。英語の「Man-in-the-Middle」を略してMITMと呼ばれます。
この攻撃の厄介な点は、通信の両者が「相手と直接やり取りしている」と思い込んでいることです。攻撃者は透明な中継者として振る舞うため、被害者が攻撃に気づきにくいという特徴があります。
「HTTPSが普及したから安全では?」と思われるかもしれません。しかし実際には、以下のような理由で中間者攻撃は今でも有効な脅威です。
・暗号化されていない通信が残っている: 社内システムや古いWebアプリケーションでHTTPのまま運用されているケースは少なくない
・証明書の検証を無視するユーザーがいる: ブラウザの証明書エラーを「無視して続行」するユーザーがいれば、HTTPS通信でも盗聴が可能になる
・Wi-Fi環境の脆弱性: 公衆Wi-Fiや設定が甘い社内Wi-Fiでは、通信経路に割り込むこと自体が容易な場合がある
・ARP・DNSなどの基盤プロトコルの弱さ: ネットワークの基盤となるプロトコルには、設計上認証の仕組みがないものが多く、なりすましが容易
IPA(情報処理推進機構)の「情報セキュリティ10大脅威」でも、盗聴やなりすましに関連する脅威は毎年上位にランクインしています。
攻撃の仕組み ― どうやって通信に割り込むのか
中間者攻撃には複数の手法があります。攻撃者がどのレイヤーで通信に割り込むかによって、方法が異なります。代表的な手法を防御目的で理解しておきましょう。
1. ARPスプーフィング
ARP(Address Resolution Protocol)は、IPアドレスからMACアドレス(ネットワーク機器の物理アドレス)を解決するためのプロトコルです。このプロトコルには認証の仕組みがなく、偽のARP応答を送りつけることで、通信の宛先を攻撃者のマシンにすり替えられます。
仕組みを概念的に説明すると、以下のようになります。
# ARPスプーフィングの概念 # 正常時: PC → ゲートウェイ(ルーター) → インターネット # 攻撃時: PC → 攻撃者PC → ゲートウェイ → インターネット # 攻撃者はPC宛に偽のARP応答を送り、 # 「ゲートウェイのMACアドレスは自分だ」と騙す
同一ネットワーク内(同じLAN)にいる攻撃者が使う手法であり、社内ネットワークや公衆Wi-Fiで特に危険です。
2. DNSスプーフィング(DNSキャッシュポイズニング)
DNS(Domain Name System)は、ドメイン名をIPアドレスに変換する仕組みです。攻撃者がDNSの応答を偽造すると、ユーザーが正規のドメイン名を入力しても、攻撃者が用意した偽サーバーに誘導されます。
たとえば「bank.example.com」にアクセスしたつもりが、見た目がそっくりな偽サイトに接続させられ、ログイン情報を入力してしまうといった被害が発生します。
3. 偽のWi-Fiアクセスポイント(Evil Twin)
攻撃者が正規のWi-Fiアクセスポイントと同じSSID(ネットワーク名)を持つ偽のアクセスポイントを設置し、ユーザーの接続を誘導する手法です。
・カフェの「Free_WiFi」と同じ名前の偽APを攻撃者が設置
・ユーザーのデバイスが自動接続し、すべての通信が攻撃者を経由
・暗号化されていない通信はすべて盗聴される
特にスマートフォンやノートPCが過去に接続したSSIDに自動接続する設定になっている場合、ユーザーが意識せず偽APに接続してしまうリスクがあります。
4. SSLストリッピング
SSLストリッピングは、ユーザーとWebサーバー間のHTTPS通信をHTTPに強制的にダウングレードさせる手法です。
攻撃者は中間に割り込んだ状態で、Webサーバーとの間はHTTPSで通信しつつ、ユーザーとの間はHTTPで通信します。ユーザーから見ると一見正常にWebサイトが表示されますが、通信は暗号化されておらず、ログイン情報やクレジットカード番号などが平文で流れます。
ブラウザのアドレスバーに鍵マークが表示されていない場合は、SSLストリッピングの被害を受けている可能性があります。
具体的な防御手順
中間者攻撃の防御は、「通信経路を信頼しない」という前提で設計することが重要です。以下の対策を優先度の高い順に解説します。
1. HTTPS(TLS)を徹底する
すべてのWebサイト・Webアプリケーションで、HTTPSを必須化してください。特に重要なのは、HTTPからHTTPSへの自動リダイレクトと、HSTS(HTTP Strict Transport Security)の設定です。
# Nginxでの HTTPS強制 + HSTS設定例 server { listen 80; server_name example.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; server_name example.com; # HSTS: ブラウザに「今後はHTTPSのみ使う」と記憶させる # max-age=31536000 は1年間の指定 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; }
HSTSを設定すると、一度HTTPSで接続したブラウザは、以降そのドメインへのHTTPアクセスを自動的にHTTPSに変換します。SSLストリッピング攻撃への有効な防御策です。
2. 証明書の検証を厳格にする
HTTPS通信の安全性は、サーバー証明書の正当性を正しく検証できていることが前提です。
・ブラウザの証明書エラーを絶対に無視させない: 社内でルールとして徹底し、「証明書エラーが出たらアクセスをやめてIT部門に連絡する」という手順を定める
・証明書ピンニングの検討: モバイルアプリなど、接続先が固定されている場合は、信頼する証明書を事前に限定する「証明書ピンニング」で偽証明書を拒否できる
・自己署名証明書を本番環境で使わない: 自己署名証明書はブラウザが警告を出すため、ユーザーが「警告を無視する癖」をつけてしまう原因になる
3. VPNを活用する
リモートワークや外出先での業務では、VPN(仮想プライベートネットワーク)を通じて通信を暗号化することで、中間者攻撃のリスクを大幅に下げられます。
# VPN接続の概念 # 公衆Wi-Fi上でも、VPNトンネルで通信を暗号化 # PC → [暗号化トンネル] → VPNサーバー → 社内ネットワーク # 攻撃者がWi-Fi上で盗聴しても、暗号化された # トンネル内の通信は解読できない
・業務で公衆Wi-Fiを使う場合は、VPN接続を必須ルールとする
・VPNプロトコルはIPsecまたはWireGuardなど、現在安全とされるものを選択する
・旧式のPPTPは既知の脆弱性があるため使用しない
4. ネットワーク側の防御(ARPスプーフィング対策)
社内ネットワークでは、ARPスプーフィングへの対策をネットワーク機器のレベルで行うことが重要です。
・Dynamic ARP Inspection(DAI): マネージドスイッチの機能で、不正なARP応答を検知・遮断する
・静的ARPテーブルの設定: 重要な機器(ゲートウェイ等)のARP情報を手動で固定し、偽の応答で書き換えられないようにする
・802.1X認証の導入: ネットワーク接続時にユーザー認証を要求し、未認証の機器を接続させない
# Linux: 静的ARPエントリの設定例 # ゲートウェイのMACアドレスを固定する sudo arp -s 192.168.1.1 00:11:22:33:44:55 # ARPテーブルの確認 arp -a
5. DNSセキュリティ対策
DNSスプーフィングへの対策として、以下の措置が有効です。
・DNSSEC(DNS Security Extensions)の有効化: DNS応答にデジタル署名を付与し、偽の応答を検知できるようにする
・DoH(DNS over HTTPS)/ DoT(DNS over TLS)の利用: DNSクエリ自体を暗号化し、改ざんを防ぐ
・社内DNSサーバーの適切な設定: 外部からの再帰問い合わせを拒否し、キャッシュポイズニングのリスクを下げる
中小企業でも今日からできること
中間者攻撃への対策は、大がかりなシステム導入がなくても始められます。コストと効果のバランスを考えた実践的な対策をまとめました。
| 対策 | 内容 | コスト |
|---|---|---|
| HTTPS必須化 | 全Webサイト・社内システムをHTTPS化。Let’s Encryptなら証明書は無料 | 無料 |
| HSTS設定 | Webサーバーの設定ファイルに1行追加するだけでSSLストリッピングを防止 | 無料 |
| 公衆Wi-Fi利用ルール策定 | 「業務では公衆Wi-FiはVPN必須」「証明書エラーは接続中止」をルール化 | 無料 |
| VPN導入 | リモートワーク用のVPNサーバーを構築。WireGuardなら無料で導入可能 | 無料〜月額数千円 |
| Wi-Fi設定の見直し | WPA3への移行、SSIDの非公開化、接続機器の制限を実施 | 無料(対応機器が必要) |
| 社員への周知 | 「フリーWi-Fiのリスク」「証明書エラーの意味」を全社員に共有 | 無料 |
まず着手すべきは「HTTPS必須化とHSTS設定」です。Webサーバーの設定変更だけで完了し、SSLストリッピングの大部分を防げます。次に「公衆Wi-Fi利用ルールの策定」に取り組みましょう。ルールを文書化して全社員に周知するだけで、リスクは大幅に低減します。
よくある誤解と注意点
【注意】「HTTPSなら中間者攻撃は不可能」は過信しすぎ
HTTPSは中間者攻撃への強力な防御策ですが、万能ではありません。攻撃者が偽の認証局(CA)の証明書をユーザーの端末にインストールさせた場合、HTTPS通信の中身も復号できます。企業環境ではプロキシサーバーによるSSL/TLSインスペクション(SSL復号検査)が行われていることもあり、「HTTPSだから盗聴されない」とは限りません。証明書の検証と端末管理を合わせて行うことが重要です。
【注意】「社内ネットワークは安全」は危険な思い込み
中間者攻撃はインターネット上だけの脅威ではありません。ARPスプーフィングやDHCPスプーフィングは、社内LANに接続された端末から実行できます。特にBYOD(個人端末の業務利用)が普及している環境では、マルウェアに感染した個人端末が社内ネットワーク上で中間者攻撃を行うリスクがあります。ネットワークのセグメント分離や802.1X認証で、信頼できない端末の影響範囲を限定しましょう。
【注意】「VPNを使えばすべて安全」ではない
VPNは通信を暗号化するため中間者攻撃への有効な対策ですが、VPN自体の設定や運用に問題があれば意味がありません。VPNサーバーのソフトウェアが古いバージョンのまま放置されていれば、VPN自体が攻撃の入口になります。また、スプリットトンネル(VPN経由の通信と直接通信を分ける設定)の場合、VPNを通らない通信は引き続き盗聴のリスクがあります。
本記事のまとめ
中間者攻撃(MITM攻撃)は、通信する二者のあいだに割り込み、データの盗聴や改ざんを行う攻撃手法です。ARPスプーフィング、DNSスプーフィング、偽Wi-Fiアクセスポイント、SSLストリッピングなど、さまざまな手口が存在し、暗号化が普及した現在でも有効な脅威であり続けています。
防御の基本は「通信の暗号化(HTTPS + HSTS)」「VPNの活用」「ネットワーク機器レベルでの対策」の3層です。一つの対策だけに頼らず、複数の防御層を組み合わせることが重要です。
| 脅威 | 対策 | 優先度 |
|---|---|---|
| SSLストリッピング | HTTPS必須化 + HSTS設定 | 最優先 |
| 公衆Wi-Fiでの盗聴 | VPN利用の必須化 | 最優先 |
| 偽の証明書による盗聴 | 証明書エラー無視の禁止 + 社員教育 | 高 |
| ARPスプーフィング | DAI導入 + 静的ARP設定 | 高 |
| DNSスプーフィング | DNSSEC有効化 + DoH/DoT利用 | 中 |
VPNの仕組みや選び方については、当サイトの記事「VPNとは?仕組み・種類・安全な選び方をわかりやすく解説」で詳しく解説しています。また、Linuxサーバーのネットワーク設定やfirewalldについては、姉妹サイトLinuxMaster.JPも参考にしてください。
あなたの通信、本当に安全ですか?
中間者攻撃は「気づかないうちに被害を受ける」のが最大のリスクです。正しい知識を持つことが、最も確実な防御の第一歩になります。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント