多要素認証を突破する新たな脅威「AiTM攻撃」
AiTM(Adversary-in-the-Middle)フィッシングは、攻撃者がユーザーと正規サイトの間にプロキシサーバー(偽サイト)を配置し、認証情報とセッションCookieをリアルタイムで窃取する攻撃です。最大の特徴は、多要素認証(MFA)を通過した後のセッションを盗み出すため、MFAを突破して不正ログインできる点です。
AiTM攻撃の具体的な流れ #
- フィッシングメールの送信と誘導
攻撃者はMicrosoft 365などのログイン画面を模倣した偽サイトを作成し、フィッシングメール等でターゲットを誘導する。 - 偽サイトへの入力と中継
ユーザーが偽サイトにIDとパスワードを入力すると、偽サイト(プロキシ)はそれらを実際の正規サイトへリアルタイムに中継する。 - 認証情報の窃取
ユーザーが入力したIDとパスワードは、攻撃者のプロキシを経由して正規サイトへ送られます。この際、攻撃者は入力内容をリアルタイムで傍受します。 - 多要素認証(MFA)の中継
正規サイトがMFA(ワンタイムパスワード等)を要求すると、偽サイトはその画面をユーザーに表示する。ユーザーが偽サイトに入力した認証コードを、攻撃者が正規サイトへ転送し、認証を成功させる。 - セッションCookieの窃取
認証に成功すると、正規サイトからセッションCookieが発行される。攻撃者はこの認証済みCookieを盗み取り、ユーザーにはログイン後の正しいページを表示する。 - なりすましログイン(不正アクセス)
攻撃者は窃取したセッションCookieを自身のブラウザにセットすることで、MFAをスキップして、本人のふりをして正規サイトにログインする
主な被害と防御策 #
- 被害: メール情報の窃取、機密情報の流出、BEC(ビジネスメール詐欺)への悪用。
- 対策: FIDO2対応の物理セキュリティキーやWebAuthn(パスキー)など「フィッシング耐性のあるMFA」の導入、不審なドメインのURLを確認する習慣をつける
代表的なサービスの具体的な設定手順と活用ツール #
1. Microsoft 365 (Microsoft Entra ID)
Microsoft 365では、条件付きアクセスポリシーを使用して、安全性の低い認証方法を排除できます。
- 認証強度の強制:
- Microsoft Entra 管理センターへアクセスします。
- [保護] > [条件付きアクセス] > [ポリシー] から新しいポリシーを作成します。
- [アクセス制御] の [許可] セクションで、「認証強度が必要」を選択し、「フィッシング耐性のある MFA」を指定します。
- 推奨ツール:
- パスキー (Passkey): ブラウザやデバイスに紐付いた認証を使用します。ドメインの検証が行われるため、AiTMサイトでは認証が通りません。
- FIDO2 セキュリティキー: YubiKeyなどの物理キーを使用することで、最高レベルの防御を実現できます。
- Microsoft Defender for Office 365: 「安全なリンク(Safe Links)」機能により、メール内の悪意あるURLをリアルタイムでスキャン・ブロックします。
2. Google Workspace
Google Workspaceでも、管理コンソールから認証方法を制限することが可能です。
- 強力なMFAの強制:
- Google 管理コンソールにログインします。
- [セキュリティ] > [認証] > [2段階認証プロセス] を開きます。
- [許可される第2ステップ] で、「テキスト メッセージや電話による確認コード以外のすべて」、または「セキュリティ キーのみ」を選択します。
- 高度な保護機能:
- アドバンスド プロテクション プログラム (APP): 経営層などの重要アカウントに対し、セキュリティキーの使用を必須化し、標的型攻撃から強力に保護します。
- パスワード アラート (Password Alert): ユーザーがGoogle以外のサイトにパスワードを入力した際、管理者に通知したりパスワード変更を強制したりする拡張機能を展開できます。
3. その他の共通対策ツール
セッション管理の強化: 万が一クッキーが盗まれた場合に備え、セッションの有効期限を短く設定することや、信頼されたデバイス(マネージドデバイス)以外からのアクセスを拒否する設定が有効です。
フィッシング訓練ツール: Microsoft Defender 攻撃シミュレーション トレーニングなどを活用し、AiTM攻撃のシナリオを模した擬似攻撃で社員の意識を高めることが重要です。
