man in the middle攻撃(attack)とは,“通信者同士の間に第三者が勝手に割り込むタイプの攻撃”を意味するセキュリティ用語である。英語では「MITM attack」と略すのが一般的で,日本語では直訳して「中間者攻撃」と表記するケースが多い。
中間者攻撃では,通信の途中に割り込んで,中身を盗み見たあとに,改めて正しい通信相手に転送する。イメージをつかむために,例えばお茶の間でケーキを食べているお姉さんが,台所にいるお母さんにコーヒーをお願いしているシーンで説明する(図)。このとき,お姉さんが注文する声が台所にいるお母さんには直接に届かないとすると,間に立っている弟が途中で中継して,その内容をお母さんに伝えてることになる。この状況がまさに“man in the middle”で,このときに弟は本来の通信者同士の間に勝手に割り込んで通信内容を中継していることになる。
ただし,実際のコンピュータ通信ではIPアドレスなど固有のアドレス情報を使ってメッセージの送信相手を指定しているため,この例のように何もせずにお母さんあての注文が弟に届くようなことは基本的にない。そこで,中間者攻撃をしかけようとするクラッカ(攻撃者)は,まずデータの送信者や中継機器に対して「なりすまし」の手法を用いて,データが自分あてに届くように仕向ける。
いったん中間者攻撃が可能な状態が成立してしまうと,通信者にとっては丸裸にされたのも同然である。中間者からは,通信者がお互いにやりとりしているデータが丸見えで,通信を完全に支配できてしまう。例えば,姉からのコーヒーのおかわりの注文に対して勝手にケーキを上乗せし,お母さんからケーキとコーヒーを受け取ったあと,姉にはコーヒーだけを渡して自分はケーキを食べるといった悪さができてしまう。現実の世界では途中で中継していることは認識できるが,実際のコンピュータ同士の通信ではIPアドレスなどで通信相手を識別するので,途中に第三者が介在するかどうかを見破るのは困難だ。つまり,ずっと中間者攻撃が行われていることに気づかないままでいる可能性があるわけで,これが中間者攻撃の怖いところである。
中間者攻撃自体は昔からある古典的な不正アクセス手法の一つで暗号通信などを盗み読む目的で昔からネット犯罪に使われてきたものの,世間一般に注目されることはなかった。ところが,2006年夏に米国の大手金融機関を巻き込んだ大規模なフィッシング詐欺事件が起こり,このとき中間者攻撃が使われていたことで注目を集めることになった。この米国の事件では,金融機関がワンタイム・パスワード・システムを導入していたにもかかわらず,中間者攻撃によって簡単にセキュリティを突破されてしまった。単純に時刻同期を使ってパスワードをやりとりするワンタイム・パスワード方式では,中間者攻撃に対して無力だからである。
中間者攻撃には今のところ完璧な対策はない。「重要な情報を扱うときは,Webブラウザのブックマークからアクセスすること」,「IPアドレスやドメイン名を確認すること」,「フィッシング詐欺対策製品を使うこと」,「電子証明書を使って相手の身元を確認すること」といった対策を積み重ねて安全性を高めるのが現実的な対応になる。
