名前自体が示唆しているように、
中間者攻撃は、不法な人物が二者間の通信を傍受しようとするタイプの攻撃です。
スパイ行為や通信の破壊、データの破損を目的として、交換される重要なデータを密かに聞き取ったり盗み取ったりすること。
基本的に、2 つのエンティティ間の会話を相手に知られずに盗み聞きしようとすること自体が、一種の中間者攻撃になります。
では、中間者攻撃とは一体何でしょうか?
しかし、中間者攻撃についてさらに詳しく説明する前に、周囲を見回してみてください。
あなたのスマートフォン、インターネットにアクセスするデバイス、使用しているすべてのソフトウェア アプリケーションを見てください。
どう思いますか?これらすべての原動力となっているものは何でしょうか?
データ!そう?
こうしたデータは、私たちの周囲を境界なく行き来しています。ある情報源から別の目的地へ、データには全く制限がありません。このようにデータが監視されずに移動することは、データのプライバシーとセキュリティに関して大きな疑問を提起します。
このプライバシーを維持することについて考えたことはありますか?
誰かがすでにあなたの携帯電話にあるすべてのデータを見たり、あなたの個人情報を自分の利益のために使用したりしていたらどうしますか?
クライアントとサーバーの間でデータ転送が行われている間に、攻撃者は通信の 2 つのエンドポイントの間に入り込み、データ転送を妨害しながら、交換されている重要な情報を取得しようとします。
一方、クライアントとサーバーは相互にやり取りしていると考えていますが、実際には攻撃者とやり取りしていることになります。
説明:
AとBという2つのエンティティがあり、Cが中間者だとします。AとBが互いに情報を共有したい場合、AはBに公開鍵を要求します。AはBの公開鍵でのみアクセス可能な暗号化データを送信し、Bだけがその鍵を使ってその情報を開くことができます。しかし、BがAに公開鍵を送信すると、中間者Cはその鍵を受け取り、自身の公開鍵をAに送信します。
Aは、鍵がBのものだと仮定し、必要なデータを暗号化してBに再度送信します。次にCは自身の公開鍵を使ってそのデータを復号し、そのデータを読み取り、必要に応じて情報を改変してBに送信します。これによりBは、この情報がAから直接送信されたものだと仮定し、このプロセスが繰り返されます。AとBは、実際には互いに通信していないことさえ知りません。
技術的には、1者が通信するたびにTCP接続が確立されます。攻撃者は、その接続をXNUMXつの部分に分割します。XNUMXつは攻撃者とクライアント間の接続、もうXNUMXつは攻撃者とサーバー間の接続で、攻撃者はこれらの間のプロキシとして機能します。この攻撃が発生するもうXNUMXつの方法は、Man-In-The-Browser攻撃です。攻撃者はボットをシステムにインストールし、日常的なWeb閲覧からすべての認証情報と重要な情報を収集し、最終的に攻撃者に送信します。
この攻撃はどのように機能するのでしょうか?
攻撃者は常に、セキュリティを侵害してデータ転送にアクセス可能な脆弱なネットワークを探しています。攻撃は2つのフェーズで実行されます。第1フェーズは '傍受' or 「暗号化」 そして2つ目は 「解読」.
「暗号化」と「復号化」
傍受には、駅や空港などの公共の場所が最も適しています。なぜなら、無料Wi-Fiが利用できるからです(人々は無料のものが大好きです)。攻撃者は、セキュリティが不十分なネットワークを見つけ、脆弱性を探します。攻撃者は、被害者のクライアントコンピュータとサーバーの間に入り込み、データを傍受します。被害者が安全だと思っている重要な情報を入手するために必要なツールを配置します。傍受されたデータは、復号化される必要があります。ここで、復号化されたデータに基づいて、さらに処理が行われます。
短すぎませんか?まあ、これはあくまでも概要を掴んでもらうための簡単な説明です。それでは、順を追って理解していきましょう。
ネットワークセキュリティ攻撃を実行する方法は他にもいくつかあります。これらの攻撃のいくつかについて簡単に説明しましょう。
例 ~
1. スニッフィング:
これは、あるネットワークから別のネットワークに流れる機密情報を含むデータパケットを分析し、捕捉するプロセスです。データは小さなデータパケットの形で送信元から送信先へと流れ、攻撃者はこれらのデータストリームにアクセスし、攻撃に必要な個人情報を盗み出します。
2. パケットインジェクション:
これは、攻撃者が信頼できるエンティティ間の通常のデータフローに自身のパケットを挿入することで、確立されたネットワークを妨害する手法です。これにより、悪意のある活動が見落とされたり無視されたりすることを防ぎます。この種のパケット干渉は、DDoS攻撃や中間者攻撃で使用されます。
3. セッションハイジャック:
ユーザーがウェブサイトにログインすると、ブラウザを通じてリクエストが送信され、要求されたウェブサイトのサーバーに送信されます。リクエストは解析され、応答がネットワーク経由でユーザーに送信され、ユーザーがウェブサイトにアクセスするためのセッションが確立されます。一方、攻撃者はそのセッションを乗っ取ろうとし、傍受することで攻撃を成功させるために必要な個人情報を抜き出すことができます。
4. SSL ストリッピング:
攻撃者は、セキュア接続に使用されるSSL/TLS暗号化を解除する際にこのプロセスを使用し、ユーザーのネットワーク接続をHTTPSからHTTPに切り替えます。被害者はセキュア接続から非セキュア接続に切り替えられることで脆弱になり、攻撃者は被害者を自身の環境に誘導して、被害者から提供された情報を容易に抽出できます。KRACKやMITMは、SSL解除手法によって実行される攻撃の一例です。
これらの攻撃から逃れるにはどうすればいいでしょうか?
このようなサイバー攻撃を防ぐために実行できる手順は次のとおりです。
-
HTTPS はより安全で、あらゆるネットワークに接続するための信頼性の高い方法であるため、HTTP ではなく HTTPS 接続を使用します。
-
攻撃者がこれらのリソースから情報を盗むのを防ぐために、ブラウザの Cookie とキャッシュをクリアしておきます。
-
HTTPS経由のHSTSの使用。このWebサーバーディレクティブは、すべてのWebアプリをHTTPSに接続し、HTTPプロトコルを使用するその他のすべてのコンテンツをブロックすることを強制します。
-
不要なメールや広告をクリックしないでください。
-
セキュリティ保護されていない公衆 Wi-Fi アクセスを使用したり、それを介して支払いを行ったりしないでください。
-
システムを保護するために、必要なセキュリティ ツールを常に最新の状態に保ってください。
-
作業ネットワークを常に安全な状態に保ってください。
-
海賊版データは絶対にダウンロードしないでください。
SEQRITE 統合脅威マシン: IPS
侵入防止システム
IPSは、組織のネットワークを外部からの攻撃、侵入の試み、マルウェア、その他の脅威から保護するネットワークセキュリティシステムです。IPSは、ネットワークへの入力トラフィックを監視し、潜在的な脅威を特定し、指定されたルールに従って対応します。これにより、悪意があると判断されたパケットはドロップされ、そのIPアドレスまたはポートから送信されるすべてのトラフィックがブロックされます。
Seqrite UTMには、 侵入防止システム攻撃者がアプリケーションやマシンを妨害し、制御権を得るために利用する脆弱性攻撃を監視・ブロックします。IPSには、入力されるデータパケットのシグネチャと一致する、事前に設定されたシグネチャセットが組み込まれています。入力されたシグネチャが既存のシグネチャと一致した場合、IPSはパケットを破棄するか、または別のシグネチャを設定します。rm.
機能説明
下の画像はIPSのステータスとIPSの下にあるさまざまな設定、および関連情報を示しています。
- 実行する指定のアクション。
- 疑わしいパケットを警告またはドロップします。
- 発生回数と説明。
既存の署名リストに新しい署名を追加する必要がある場合があります。 セクライト UTM IPSでは、独自のカスタムシグネチャを追加できます。これは、IPSページの「詳細設定」タブから行えます。
組織によっては、受信トラフィック、送信トラフィック、そしてイントラネットトラフィックをすべて監視する必要がある場合があります。この機能を使用すると、すべてのトラフィックタイプ、または個々のトラフィックタイプを監視できます。
参考文献
a) thesslstore.com
b) veracode.com
c) securebox.comodo.com
d) HTTPSとSSLを使用した中間者攻撃の防止、IJCSMC、第5巻、第6号、2016年569月、579~XNUMXページ
