「AitM（Adversary in the Middle）攻撃」とは「中間者攻撃」と訳され、ユーザーが多要素認証を用いてログインしたセッションCookieを盗み取り、攻撃者がWebサイトの多要素認証を回避してアクセスするサイバー攻撃手法である。

多要素認証は「パスワードと顔認証」や「PINコードと指紋認証」など、二つ以上の要素を組み合わせて本人認証を行うセキュリティ方式で、同方式は多くのシステム・アプリで採用されている。AitM攻撃ではこの多要素認証を完了したセッションCookie自体を窃取するため、攻撃者は多要素認証のプロセスを回避して不正ログインができてしまう。

関連記事：多要素認証（MFA）で強化できるセキュリティ

AitM攻撃の流れは大まかに以下のとおりだ。

まず偽メールをターゲットに送信してフィッシングサイトへ誘導。ターゲットがフィッシングサイトでログイン情報を入力したら、そのログイン情報を用いて攻撃者が正規サイトにログインする。

続いて正規サイトでは二つ目の認証要素を要求して、ワンタイムパスワードなどの認証コードをターゲットのスマホやパソコンに送信する。するとターゲットは送られてきた認証コードをフィッシングサイトに入力してしまう。そして攻撃者は入力された認証コードを正規サイトに送信することで、多要素認証を突破する。攻撃者は、正規サイトが認証済みのセッションを開始して発行したCookieを窃取し、それを用いて本人に成り済まして正規サイトに不正アクセスを実行する。

このようにAitM攻撃では、攻撃者が多要素認証後のセッションCookieを盗み、本人のふりをして正規サイトへの不正アクセスを実行する。

AitM攻撃の動向はたびたび報道されている。

2023年3月にマイクロソフト社は「DEV-1101」と呼ばれる高度なスキル不要で、フィッシングサイトを構築できるAitM攻撃フィッシングキットが、サイバー犯罪者に安価で提供されている事実を公表した。また2024年10月にもサイバーセキュリティ会社のSekoia社が、これまで知られていなかったAitM攻撃を実行するフィッシングキット「Mamba 2FA」の発見を伝えている。

このようにAitM攻撃は攻撃者がキットを簡単に購入できるため、サイバー犯罪と比較して参入障壁も低くなっており、今後の対策は必須と言える。

では、AitM攻撃を防ぐにはどうすれば良いのか。

マイクロソフト社によると、多要素認証自体は依然としてIDセキュリティの重要な柱であり、脅威への対策として有効であるとしている。そのうえで、「FIDO ver2.0」準拠の生体情報や、物理セキュリティキーによる認証を導入することで、AitM攻撃対策に効果的だという見解を述べている。

「FIDO ver2.0」とは標準規格策定団体「FIDO Alliance」が策定をしている、パスワードレスでオンライン認証を実行できる業界標準規格だ。同方式はパスワードや生体情報をサーバーへ送信しない仕様であるため、セッションCookieを盗まれるリスクが少ない。そのほかマイクロソフト社では「条件付きアクセスポリシーを有効にする」「不審または異常なアクティビティを継続的に監視する」などもAitM攻撃への対策として紹介している。

前述した「DEV-1101」や「Mamba 2FA」のように、今後も新たなフィッシングキットが発見される可能性は高い。そのため企業は多要素認証だけではなく、「FIDO ver2.0」準拠の生体情報や、物理セキュリティキーも用いて、AitM攻撃のリスク対策を講じる必要がある。ベンダーとしてAitM攻撃の手口や有効な対策をクライアントに伝え、クライアントの利益を守るサポートを行いたい。