Technology

MFAをすり抜ける新たな脅威「Adversary-in-the-Middle（AitM）攻撃」の台頭

23/07/2025 - Chris Collier

Adversary-in-the-Middle攻撃とは？

Adversary-in-the-Middle（AitM）フィッシング攻撃は、認証情報を窃取する攻撃手法です。具体的には、攻撃者がユーザーと正規の認証サービスの通信に割り込み、認証情報やセッショントークンを傍受します。このため、多要素認証（MFA）が導入されている環境であっても、攻撃者がMFAを回避して不正アクセスを行うことが可能になります。AitM攻撃は従来のMan-in-the-Middle（MitM）攻撃を進化させたもので、より巧妙な手法です。そのため、AitM攻撃は結果として大きな被害を引き起こすリスクが高い攻撃形態といえます。

Man-in-the-Middle攻撃とAdversary-in-the-Middle攻撃の違い

Man-in-the-Middle（MitM）攻撃とAdversary-in-the-Middle（AitM）攻撃はどちらも、攻撃者が通信の中間に割り込む点で共通しています。しかし、両者の実行方法や目的、攻撃対象には大きな違いがあります。

Man-in-the-Middle攻撃とは？

Man-in-the-Middle（MitM）攻撃は、たとえばユーザーとウェブサイト、あるいはクライアントとサーバーの間で行われる通信に攻撃者が密かに割り込むサイバー攻撃です。通信の当事者に気づかれることなく、やり取りされる情報を傍受したり、ときには内容を改ざんしたりすることができます。攻撃者は、ログイン認証情報やセッションクッキー、機密データなどを盗み出し、それらを不正に利用することを目的としています。

MitM攻撃とAitM攻撃の違いとは？

MitMとAitMの主な違い

項目	Man-in-the-Middle（MitM）	Adversary-in-the-Middle（AitM）
ターゲット	ネットワーク通信全般	認証セッション（MFA）
手法	通信の傍受・改ざん	ユーザーと認証サービスの間に介在
目的	データ窃取、改ざん、スパイ行為	MFAの回避、セッションハイジャック（乗っ取り）
実行形式	ネットワークレベルでの攻撃	ウェブを用いたフィッシング攻撃
対策	暗号化（TLS、VPN、HTTPS）、ネットワークセキュリティ	フィッシング耐性のあるMFA、トークンバインディング、条件付きアクセス

なぜ多要素認証（MFA）だけではAitM攻撃を防げないのか

多要素認証（MFA）はログイン時に一度だけ認証を行う仕組みです。しかし、攻撃者がユーザーのセッショントークンを盗み取ってしまうと、その後は再認証なしに正規ユーザーとしてシステムにアクセス可能になります。このため、セッションが有効な間は、攻撃者が盗んだトークンを使って継続的に不正アクセスを行うリスクが存在します。つまり、ユーザーがログアウトするか、セッションの有効期限が切れるまで、不正アクセスの被害が継続する恐れがあるのです。

FIDO2はどのようにAitM攻撃を防ぐのか

FIDO2/WebAuthn認証は、認証プロセスをユーザーのデバイスに紐づけるため、フィッシングに強いという特徴があります。そのため、認証情報や認証コード、セッショントークンがネットワーク上を流れることがなく、攻撃者がこれらを傍受・再利用することはできません。さらに、正規のデバイスがなければ認証が成立しない仕組みのため、AitM攻撃の主要な手法であるセッションハイジャック（乗っ取り）も防止できます。

具体的には、FIDO2は公開鍵暗号方式を採用しており、以下の流れで認証が行われます。

秘密鍵はFIDO2対応デバイス内に安全に保管される
公開鍵は認証サービス側に登録される
ログイン時にサービスからユーザーのデバイスへチャレンジが送信される
ユーザーの認証器が秘密鍵を使って署名を返送する

仮に攻撃者が通信を傍受・中継したとしても、秘密鍵はデバイスの外に出ることがないため、盗むことはできません。また、各デバイスはウェブサイトごとに固有の秘密鍵を生成しているため、秘密鍵を他のデバイスに転送したり流用したりすることもできません。

追加のセキュリティ対策

AitM攻撃への対策として、FIDO2に加えて以下のセキュリティ施策も有効です。

条件付きアクセスの導入：
デバイスの信頼度、地理情報、ユーザーの行動に応じてログインを制御
トークンバインディングの導入：
セッショントークンを特定デバイスに紐づけ、不正利用を防止
異常検知とモニタリング：
不審なセッションやトークンの再利用を監視し、必要に応じて遮断
ネットワーク対策：
TLSインスペクションやゼロトラストモデルを活用し、攻撃用プロキシの検出を強化
メール認証の強化：
DMARC、DKIM、SPFなどによりメールのスプーフィング（なりすまし）を防止

結論

MitM攻撃はネットワーク通信全般を狙う広範な攻撃ですが、AitM攻撃は認証プロセスに特化した、特にMFAを回避するためのより洗練された新たな脅威です。そのため企業は、MitM攻撃に対するネットワークセキュリティの強化に加え、MFAをすり抜ける攻撃に対応できるフィッシング耐性の高い認証手段を導入する必要があります。本ブログで紹介したFIDO2によるパスワードレス認証は、巧妙に進化したAitM攻撃に対する最先端の企業セキュリティ対策です。

認証・アクセス管理の見直しをご検討中の方、組織のセキュリティ強化をお考えの方は、ぜひご相談ください。スイスビットが最適な対策をご提案します。

By Chris Collier

As a dedicated technologist and advocate for all things related to Identity, Chris is responsible for Technical Product Marketing and Business Development at Swissbit. With a 20-year background in technical product marketing and management, Chris helps organizations design, deploy, and manage complex issues associated with the complexities of IAM. Today’s technologies for SSO, MFA, PAM, IGA are growing ever more complex. Chris has first-hand experience and understands the pain associated with managing multiple cutting-edge and legacy technologies that serve the same purpose, but are not compatible with each other, nor are they compatible with an organization’s needs.

JP: Show all posts