はじめに
インターネットバンキングやオンラインショッピングを利用する際、「鍵マーク」が表示されていれば安全だと思っていませんか?実は、その安心感の裏側で、あなたの大切な情報が盗まれているかもしれません。
空子/情報セキュリティマネジメント担当今回は、一般的なセキュリティ対策をすり抜ける巧妙なサイバー攻撃「Man-in-the-Browser(マン・イン・ザ・ブラウザ)攻撃」について、分かりやすく解説します。
Man-in-the-Browser攻撃とは?
空子/情報セキュリティマネジメント担当Man-in-the-Browser攻撃は、略して「MitB攻撃」とも呼ばれます。
この攻撃は、あなたがWebサイトにアクセスする際に使用するブラウザ(ChromeやEdge、Safariなど)の中に潜り込み、密かにあなたの操作を監視したり、改ざんしたりする攻撃手法です。
分かりやすく例えるなら、あなたと銀行の間でやり取りされる手紙を、配達の途中で誰かがこっそり開封し、内容を盗み見たり、書き換えたりしているような状態です。しかも、その「誰か」は配達員の中に紛れ込んでいるため、あなたも銀行も気づかないのです。
なぜ危険なのか?従来の攻撃との違い
空子/情報セキュリティマネジメント担当従来のサイバー攻撃の多くは、インターネット上を流れるデータを途中で盗聴する「Man-in-the-Middle(中間者)攻撃」でした。しかし、現在ではSSL/TLSという暗号化技術(URLが「https://」で始まり、鍵マークが表示される)が広く使われているため、この種の攻撃は困難になっています。
ところが、Man-in-the-Browser攻撃は全く異なるアプローチを取ります。この攻撃では、暗号化されたデータがブラウザ内で「復号化(元の読める状態に戻される)」された後に、情報を盗んだり改ざんしたりします。つまり、どれだけ強力な暗号化技術を使っていても、ブラウザの中では情報が「裸」の状態になっているため、そこを狙われてしまうのです。
具体的にどんな被害が起こるのか?
空子/情報セキュリティマネジメント担当Man-in-the-Browser攻撃による被害は深刻です。具体的には以下のようなことが起こり得ます。
銀行口座からの不正送金 あなたがインターネットバンキングで振込操作を行うとき、画面には「Aさんに1万円送金」と表示されています。しかし、実際には攻撃者のプログラムが裏で送金先や金額を書き換え、「攻撃者の口座に100万円送金」という指示に変更してしまいます。あなたの画面では正常に見えるため、異変に気づくことはありません。
クレジットカード情報の窃取 オンラインショッピングでクレジットカード番号を入力した瞬間、その情報が攻撃者に送信されます。あなたは何も気づかずに買い物を完了しますが、後日、身に覚えのない高額請求が来ることになります。
ログイン情報の盗難 銀行やショッピングサイトのIDとパスワードを入力すると、それらの情報が自動的に攻撃者に送信されます。攻撃者はこの情報を使って、あなたになりすましてアカウントにアクセスできるようになります。
どうやって感染するのか?
空子/情報セキュリティマネジメント担当Man-in-the-Browser攻撃を行うためには、まず攻撃者があなたのパソコンやスマートフォンにマルウェア(悪意のあるプログラム)を送り込む必要があります。感染経路は様々ですが、主に以下のようなケースがあります。
- 怪しいメールの添付ファイルを開く
- 信頼できないウェブサイトからソフトウェアをダウンロードする
- 偽のセキュリティ警告に従ってプログラムをインストールする
- 正規のソフトウェアに見せかけた偽物をインストールする
一度マルウェアが侵入すると、それはブラウザに「拡張機能」や「プラグイン」のような形で組み込まれ、あなたのブラウザ操作を常に監視し始めます。
発見が難しい理由
空子/情報セキュリティマネジメント担当Man-in-the-Browser攻撃が特に厄介なのは、発見が非常に難しい点です。
まず、ブラウザには正しい情報が表示されます。あなたが「Aさんに1万円」と入力すれば、画面上もそう表示されます。しかし、「送信」ボタンを押した瞬間、裏側でデータが改ざんされるため、気づくことができません。
また、一部の高度な攻撃では、銀行から送られてくる取引確認メールも改ざんされ、正常な取引に見えるように偽装されることがあります。このため、後から確認しても異変に気づけないのです。
さらに、一般的なウイルス対策ソフトでも検出が難しい場合があります。なぜなら、Man-in-the-Browser攻撃に使われるマルウェアは、ブラウザの正規の機能を悪用する形で動作するため、明らかな「悪意のある動き」として認識されにくいからです。
自分を守るための対策
空子/情報セキュリティマネジメント担当では、どうすればMan-in-the-Browser攻撃から身を守れるのでしょうか?完璧な防御方法はありませんが、以下の対策を組み合わせることでリスクを大幅に減らすことができます。
1. 信頼できるセキュリティソフトを使う 常に最新版のウイルス対策ソフトを使用し、定期的にスキャンを行いましょう。
2. OSとソフトウェアを最新に保つ パソコンやスマートフォンのOS、ブラウザ、すべてのソフトウェアを常に最新バージョンに更新してください。
3. 不審なメールやリンクを開かない 知らない送信者からのメールや、不自然な日本語のメッセージには特に注意が必要です。
4. 公式サイトからのみソフトをダウンロード ソフトウェアは必ず公式サイトや信頼できるアプリストアからダウンロードしましょう。
5. 二要素認証を設定する 銀行やショッピングサイトで二要素認証(SMSやアプリでの追加確認)が利用できる場合は、必ず設定してください。特に、取引内容を別途確認する方式(例: アプリやSMSで送金先・金額を個別に検証するもの)が有効です。ただし、一部の高度な攻撃では認証コードをリアルタイムで盗まれる可能性があるため、他の対策と組み合わせましょう。
6. 取引内容を頻繁に確認する 銀行口座の取引履歴やクレジットカードの利用明細を定期的にチェックし、不審な取引がないか確認しましょう。
7. ブラウザの拡張機能を見直す インストールされているブラウザの拡張機能やアドオンを定期的にチェックし、覚えのないものや使っていないものは削除してください。
まとめ
Man-in-the-Browser攻撃は、暗号化通信という「鍵」を迂回して、ブラウザという「家の中」で悪事を働く、非常に巧妙な攻撃手法です。私たちが信頼しているセキュリティの仕組みをすり抜けるため、特に注意が必要です。
しかし、基本的なセキュリティ対策を怠らず、不審な動きに敏感になることで、リスクを大幅に減らすことができます。「自分は大丈夫」と思わず、日頃からセキュリティ意識を高く持つことが、何よりも重要な防御策となります。
空子/情報セキュリティマネジメント担当インターネットは便利で素晴らしいツールですが、そこには常に危険も潜んでいます。この記事で紹介した知識を活かし、安全にインターネットを楽しんでください。
コメント