中間者 (MITM) 攻撃は、悪意のある攻撃者が確立されたネットワーク会話またはデータ転送を中断することです。攻撃者は転送パスの中央に座って、会話の正当な参加者のふりをするか、そのように行動します。
実際には、攻撃者は受信リクエストと送信応答の間に位置します。ユーザーは、Facebook、Twitter、オンライン バンクなどの正当な宛先サーバーまたは Web アプリケーションと直接通信していると信じ続けることになります。ただし、実際には、中間者にリクエストを送信し、中間者があなたの代わりに銀行やアプリと通信することになります。
そのため、中間者は、宛先サーバーまたはターゲットサーバーから受け取るすべてのリクエストと応答を含むすべてを確認することになります。仲介者はすべての会話を閲覧するだけでなく、あなたのリクエストと応答を変更したり、資格情報を盗んだり、管理するサーバーに誘導したり、その他のサイバー犯罪を実行したりする可能性があります。
一般に、攻撃者は会話のいずれかの当事者からの通信ストリームまたはデータを傍受することができます。その後、攻撃者は情報を変更したり、正当な参加者の両方に悪意のあるリンクや応答を送信したりする可能性があります。ほとんどの場合、これはしばらくの間検出されず、後で大きな損害が発生するまで検出されません。
一般的な中間者攻撃手法
パケット スニッフィング: – 攻撃者はさまざまなツールを使用してネットワーク パケットを低レベルで検査します。スニッフィングにより、攻撃者はアクセスを許可されていないデータ パケットを見ることができます。
パケットインジェクション: – 攻撃者が悪意のあるパケットをデータ通信チャネルに挿入します。注入前に、犯罪者はまずスニッフィングを使用して、悪意のあるパケットをいつどのように送信するかを特定します。挿入後、通信ストリーム内で不正なパケットが有効なパケットと混合されます。
セッション ハイジャック: ほとんどの Web アプリケーションでは、ログイン プロセスで一時的なセッション トークンが作成されるため、ユーザーは各ページや今後のリクエストに対してパスワードを入力し続ける必要がなくなります。残念ながら、さまざまなスニッフィング ツールを使用する攻撃者がセッション トークンを特定して使用する可能性があり、これを使用して正規のユーザーになりすましてリクエストを行うことができるようになります。
SSL ストリッピング: 攻撃者は SSL トリッピング技術を使用して、正規のパケットを傍受し、HTTPS ベースのリクエストを変更し、安全でない HTTP 相当の宛先に送信することができます。その結果、ホストはサーバーに対して暗号化されていないリクエストを作成し始めるため、機密データが簡単に盗まれるプレーン テキストとして公開されます。
MITM 攻撃の結果
MITM 攻撃は、経済的および評判の損失につながる可能性があるため、どの組織にとっても危険です。
通常、犯罪者は組織の機密情報や個人情報を入手して悪用する可能性があります。たとえば、ユーザー名やパスワード、クレジット カードの詳細などの資格情報を盗み、それらを資金送金や不正な購入に使用する可能性があります。また、盗んだ資格情報を使用してマルウェアをインストールしたり、その他の機密情報を盗んだりすることもでき、それを使って会社を脅迫することもできます。
このため、ユーザーとデジタル システムを保護して MITM 攻撃のリスクを最小限に抑えることが重要です。
セキュリティチーム向けのMITM攻撃ツール
信頼できるセキュリティ ソリューションとセキュリティ手法を使用することに加えて、必要なツールを使用してシステムをチェックし、攻撃者が悪用できる脆弱性を特定する必要があります。正しい選択を行えるように、セキュリティ研究者向けの HTTP MITM 攻撃ツールをいくつか紹介します。
ヘティ
Hettyは、セキュリティ研究者、チーム、バグ報奨金コミュニティをサポートする強力な機能を備えた高速なオープンソース HTTP ツールキットです。 Next.js Web インターフェイスが組み込まれた軽量ツールは、中間プロキシの HTTP マンで構成されます。
主な特徴
- 全文検索を実行できるようにします
- これには、プロキシ ログからのオフ リクエストに基づいて、または最初からリクエストを作成して、HTTP リクエストを手動で送信できる送信モジュールがあります。
- HTTP リクエストを自動的に送信できるようにする攻撃者モジュール
- 簡単なインストールと使いやすいインターフェース
- HTTP リクエストを手動で送信するには、最初から開始してリクエストを作成するか、プロキシ ログから単純にコピーします。
ベターキャップ
Bettercap は、包括的でスケーラブルなネットワーク偵察および攻撃ツールです。
この使いやすいソリューションは、リバース エンジニア、セキュリティ専門家、レッド チームに、Wi-Fi、IP4、IP6 ネットワーク、Bluetooth Low Energy (BLE) デバイス、およびワイヤレス HID デバイスをテストまたは攻撃するためのすべての機能を提供します。さらに、このツールにはネットワーク監視機能や、偽のアクセス ポイントの作成、パスワード スニファー、DNS スプーファー、ハンドシェイク キャプチャなどの機能があります。
主な特徴
- 認証データを識別し、資格情報を収集するための強力な内蔵ネットワーク スニファー
- 強力で拡張性のある
- 潜在的な MITM 脆弱性について IP ネットワーク ホストをアクティブおよびパッシブに調査およびテストします。
- 使いやすく対話型の Web ベースのユーザー インターフェイスにより、幅広い MITM 攻撃の実行、資格情報のスニッフィング、HTTP および HTTP トラフィックの制御などが可能になります。
- POP、IMAP、SMTP、FTP 資格情報、アクセスした URL と HTTPS ホスト、HTTP Cookie、HTTP 投稿データなど、収集するすべてのデータを抽出します。次に、それを外部ファイルに表示します。
- TCP、HTTP、HTTPS トラフィックをリアルタイムで操作または変更します。
プロキシ.py
Proxy.py は、軽量のオープンソース WebSocket、HTTP、HTTPS、および HTTP2 プロキシ サーバーです。単一の Python ファイルで利用できるこの高速ツールにより、研究者は最小限のリソースを消費しながら、TLS 暗号化されたアプリを含む Web トラフィックを検査できます。
主な特徴
- これは、1 秒あたり数万の接続を処理できる高速かつスケーラブルなツールです。
- 組み込みの Web サーバー、プロキシ、HTTP ルーティングのカスタマイズなどのプログラム可能な機能
- 5~20MBのRAMを使用する軽量設計です。また、標準の Python ライブラリに依存しており、外部の依存関係は必要ありません。
- プラグインを使用して拡張できるリアルタイムのカスタマイズ可能なダッシュボード。また、実行時に proxy.py を検査、監視、構成、制御するオプションも提供されます。
- 安全なツールは TLS を使用して、proxy.py とクライアントの間でエンドツーエンドの暗号化を提供します。
ミットプロキシ
mitmproxy は、使いやすいオープンソースの HTTPS プロキシ ソリューションです。
一般に、インストールが簡単なこのツールは、SSL 中間者 HTTP プロキシとして機能し、トラフィック フローをオンザフライで検査および変更できるコンソール インターフェイスを備えています。コマンド ライン ベースのツールを HTTP または HTTPS プロキシとして使用して、すべてのネットワーク トラフィックを記録し、ユーザーが何を要求しているかを確認して、それらを再生することができます。通常、mitmproxy は 3 つの強力なツールのセットを指します。 mitmproxy (コンソール インターフェイス)、mitmweb (Web ベースのインターフェイス)、および mitmdump (コマンドライン バージョン)。
主な特徴
- インタラクティブで信頼性の高い HTTP トラフィック分析および変更ツール
- 柔軟性、安定性、信頼性が高く、インストールと使用が簡単なツール
- HTTP および HTTPS のリクエストと応答をその場でインターセプトおよび変更できます。
- HTTP クライアント側とサーバー側の会話を記録して保存し、後で再生して分析します。
- SSL/TLS 証明書を生成してオンザフライで傍受する
- リバース プロキシ機能を使用すると、ネットワーク トラフィックを別のサーバーに転送できます。
げっぷ
Burpは、自動化されたスケーラブルな脆弱性スキャン ツールです。このツールは多くのセキュリティ専門家にとって良い選択です。一般に、研究者はこれを使用して Web アプリケーションをテストし、犯罪者が悪用して MITM 攻撃を開始できる脆弱性を特定できます。
ユーザー主導のワークフローを使用して、ターゲット アプリケーションとその動作を直接表示します。 Web プロキシ サーバーとして動作する Burp は、Web ブラウザと宛先サーバーの間の中間者として機能します。したがって、これにより、リクエストとレスポンスのトラフィックを傍受、分析、変更できるようになります。
主な特徴
- Web ブラウザとサーバー間の双方向の生のネットワーク トラフィックを傍受して検査します。
- ブラウザと宛先サーバー間の HTTPS トラフィックの TLS 接続を切断し、攻撃者が暗号化されたデータを表示および変更できるようにします。
- Burps 組み込みブラウザまたは外部標準 Web ブラウザの使用の選択
- 自動化された高速かつスケーラブルな脆弱性スキャン ソリューション。Web アプリケーションをより迅速かつ効率的にスキャンしてテストできるため、幅広い脆弱性を特定できます。
- インターセプトされた個々の HTTP リクエストとレスポンスを表示する
- 傍受したトラフィックを手動で確認して、攻撃の詳細を理解します。
エッターキャップ
Ettercap は、オープンソースのネットワーク トラフィック アナライザーおよびインターセプターです。
包括的な MITM 攻撃ツールを使用すると、研究者は幅広いネットワーク プロトコルとホストを詳細に調査して分析できます。 LANなどのネットワーク上のパケットを登録することもできます。さらに、多目的ネットワーク トラフィック アナライザは、中間者攻撃を検出して阻止できます。
主な特徴
- ネットワーク トラフィックを傍受し、パスワードなどの資格情報を取得します。また、暗号化されたデータを復号化し、ユーザー名やパスワードなどの資格情報を抽出することもできます。
- ディープ パケット スニッフィング、テスト、ネットワーク トラフィックの監視、およびリアルタイムのコンテンツ フィルタリングの提供に適しています。
- 暗号化を含むネットワーク プロトコルのアクティブおよびパッシブな盗聴、分析、分析をサポート
- ネットワーク トポロジを分析し、インストールされているオペレーティング システムを確立します。
- インタラクティブおよび非インタラクティブ GUI 操作オプションを備えた使いやすいグラフィカル ユーザー インターフェイス
- ARP インターセプト、IP および MAC フィルタリングなどの分析技術を利用してトラフィックを傍受および分析します
MITM 攻撃の防止
MITM 攻撃はユーザーから離れた場所で発生するため、特定するのはそれほど簡単ではありません。また、攻撃者はすべてを正常に見せかけるため、検出するのは困難です。ただし、組織が中間者攻撃を防ぐために使用できるセキュリティ対策がいくつかあります。これらには以下が含まれます。
- サーバーやコンピュータ上の効果的なセキュリティ ソリューションやツール、信頼性の高い認証ソリューションなどを使用して、職場やホーム ネットワークのインターネット接続を保護します。
- アクセス ポイントに強力な WEP/WAP 暗号化を適用する
- アクセスするすべての Web サイトが安全であり、URL に HTTPS が含まれていることを確認します。
- 不審なメールメッセージやリンクをクリックしないようにする
- HTTPS を強制し、安全でない TLS/SSL プロトコルを無効にします。
- 可能な場合は、仮想プライベート ネットワークを使用します。
- 上記のツールとその他の HTTP ソリューションを使用して、攻撃者が悪用できるすべての中間者脆弱性を特定して対処します。