データシート Man-in-the-Middle 攻撃(中間者攻撃) モバイル端末を標的としたネットワーク攻撃を阻止するために モバイル端末での機密データ取り扱いは増加傾向にあり、 それに合わせてモバイル脅威は拡大し、 かつ、巧妙化を 続けています。 その中でもMan-in-the-Middle攻撃は顕在化している脅威の1つで、悪意のあるWi-Fiネットワーク に接続したモバイル端末が社内で使用されているケースも多く見られます。 ある調査によると、 モバイル端末を活用 1 している企業の24%が悪意のあるWi-Fiネットワークに接続した経験があると報告されています。 Man-in-the-Middle攻撃の過程 Man-in-the-Middle攻撃は次の2段階を経て攻撃を仕掛けます: 2. データの復号 ネットワークに侵入後、暗号化されているデータを復号するため 1. ネットワークトラフィックへの侵入 に攻撃者は以下のような方法を使って通信状態を操作したり、ユ 2. データの復号 通常、モバイル端末でやりとりされるデータの多くは暗号化され ておりネットワークトラフィックに侵入するだけではデータ搾取 まで到達できないため、2段階のアプローチが必要となります。 ーザーを騙したりする必要があります。 ホスト証明書の乗っ取り 攻撃者が作成した不正な証明書を攻撃対象端末にあるルート証 明書ストアにインストールさせます。この危険なルート証明書は 1. ネットワークトラフィックへの侵入 攻撃者は主に以下のような方法でネットワークトラフィックへ侵 入しますします。 A. 偽のWi-Fiアクセスポイントまたは偽の携帯基地局を設置 する B. VPN接続で企業ネットワークへトンネリングする C. プロキシを設定してネットワークパス上でトラフィックをリ 安全な接続を確立しているように見せかけながら、攻撃対象端 末の通信を傍受します。 SSLストリップ 攻撃対象端末の通信が暗号化されていない場合は、攻撃者は通 常HTTPsと表記されるべきURLを書き換え、プレーンテキスト のHTTPで接続させます。 ダイレクトする D. Address Resolution Protocol(ARP)スプーフィングに よりゲートウェイで攻撃者のハードウェアアドレスをARP キャッシュに記録させる TLS プロトコルダウングレード攻撃 攻撃者が接続の段階でリクエスト送信を妨害し、接続プロトコル または暗号スイートのバージョンを下げさせ、接続のセキュリテ ィ機能をダウングレードさせます。 攻撃対象端末 攻撃者 企業データ CIO.com、 「IT担当者の5分の1が自社でモバイル情報漏えいを経験」 、2016年。 1 lookout.jp v2.0 1 Lookoutのアプローチ Lookoutアプリは、既知の証明書のプロパティとセキュリティ プロトコルのコンフィギュレーションを参照し、リファレンスサー バーを徹底的に検査します。このため接続予定のあるネットワ ーク設定プロパティと検出されたネットワークプロパティを比較 した検査が可能です。Lookoutは検出された接続と予期された 攻撃対象 端末 攻撃者 プロパティとの相違を分析し、攻撃者が上述の方法で接続に不 正アクセスしているかどうか判別します。 改ざんされた接続 リファレンスサー バー 改ざんされた接続 以下の判断基準だけでは誤検知が多発 • 喫茶店やホテルのWi-Fi接続認証ページ Lookoutは転送中の暗号化データに対する攻撃に着目す るという独自のアプローチで企業システムを保護します。 • プロキシ • VPN 生産性を考えると、ホテルや空港などの公共Wi-Fi利用を 制限するのは現実的ではありません。公共Wi-Fi接続時 に発生するMan-in-the-Middle攻撃を一般的な手法で 誤検知が多発する 誤検知を抑える判断基準 • ホスト証明書の乗っ取り • SSLストリップ • TLSプロトコルのダウングレード攻撃 検知しようとすると、誤検知が多発するためIT担当者の 負荷が増加しかねません。 Lookoutは転送中の暗号化データに対する攻撃に着目す るという独自のアプローチを採用することで誤検知を最 小限にとどめ、公共Wi-Fi接続環境下でも安全に生産性 を追求できる環境を実現します。 誤検知を最小限に抑え脅威を通知 lookout.jp v2.0 2
© Copyright 2024 ExpyDoc
