用語「中間者攻撃」と「Man-in-the-Browser」の濫用について

Hiromitsu Takagi @HiromitsuTakagi

【報道機関向け注意喚起（速報）】銀行の偽画面不正送金事件で、トレンドマイクロ社が原因を「中間者攻撃（Man-In-The-Middle攻撃）…である可能性があり」と主張しています http://t.co/wB3seS8R が、中間者攻撃は用語法として誤りなので、注意してください。

RBB TODAY @RBBTODAY

オンラインバンキング利用者を狙う攻撃は「中間者攻撃」の可能性 http://t.co/sEB6Gwn4

インターネットコム @jic_news

国内オンラインバンキングへの攻撃で新たな「中間者攻撃」、トレンドマイクロが注意喚起 http://t.co/D4Zkonjm http://t.co/Zxc2Pvy8

拡大

Daigo Akane (赤根 大吾)💉x4 @dgakane

こんなの「中間者攻撃」と呼ばない。中継してないもの> 国内オンラインバンキング利用者を狙った攻撃、トレンドマイクロが注意喚起 | トレンドマイクロ セキュリティ ブログ http://t.co/60WhB19w

辻 伸弘 (nobuhiro tsuji) @ntsuji

え？なんでこれが中間者攻撃なんですか？感染端末上での行動がMITMだとしたらキーロギングして送信することもMITMになりませんか？ / 国内オンラインバンキングへの攻撃で新たな「中間者攻撃」、トレンドマイクロが注意喚起 - http://t.co/uOsrhLKV

ただただし @tdtds

えっ、こういうのはMITMって言わないだろ。MITBの間違い? / “国内オンラインバンキングへの攻撃で新たな「中間者攻撃」、トレンドマイクロが注意喚起 - インターネットコム” http://t.co/Bos68N68

いろ @_iro

これのどこが中間者攻撃なんだよと思って調べたら、すでに総ツッコミされてた。 － 国内オンラインバンキング利用者を狙った攻撃、トレンドマイクロが注意喚起 | トレンドマイクロ セキュリティ ブログ http://t.co/qPPbtW5x

あんどーB @ando__b

最近ニュースとかでやってるネットバンキングの暗証番号盗むやつを「中間者攻撃」て書いてあるのを見かけるけど、違うんじゃないのか?誰かが情報操作してるの?

piyokango @piyokango

今回のネットバンキングで行われている手口はMITBだとは思うのですが、MITB≠MITMとしていいのかわからなくなっています。MITMを広義に捉えた場合、MITBもMITMには含まれないのでしょうか。

piyokango @piyokango

MITBの初出がいつ頃かは知らないのですが、2007年に出ているレポートでも「ユーザーとブラウザ間における中間者攻撃」という説明がされているように読めるので混乱中。 http://t.co/XKJ7WSy4

piyokango @piyokango

またOperation High RollerはマルウェアがHTTPを改ざんし、その後セッションを乗っ取るとあるのでMITB+MITMとなるのでしょうか。

piyokango @piyokango

RSAでもMITBがMITMの一種であるといった説明をしていますね。 http://t.co/eGAt4vGO

岡村久道 @Lawcojp

「Man-in-the-Middle」に注目！「新たに台頭する「中間者攻撃」の脅威、傾向と対策を聞く」 ITmedia エンタープライズ http://t.co/3LVo5vxy

三上洋 @mikamiyoh

ウイルスによる中間者攻撃の可能性強し／不正送金事件、正規のネットバンキングで暗証盗み取り YOMIURI ONLINE（読売新聞） http://t.co/HDFOeYMh

Hiromitsu Takagi @HiromitsuTakagi

あちゃー。「中間者攻撃」……。 https://t.co/eD6x2L5K https://t.co/ILrODIok https://t.co/j3OL9G99 https://t.co/UxJYaGvS https://t.co/cduAAdJV

piyokango @piyokango

ITMedia http://t.co/eEmsxeI4 でもMITBが中間者攻撃と解釈できる記事がありますが、FFRIのマンスリーレポート http://t.co/1y0VTPti にはMITMの話はないですね。

Hiromitsu Takagi @HiromitsuTakagi

出鱈目な記事。http://t.co/BieVObpN

Hiromitsu Takagi @HiromitsuTakagi

トレンドマイクロが「中間者攻撃」などと出鱈目な解説をしている事案は、Man-in-the-Middle（MITM）でもなければ Man-in-the-Browser（MITB）でもない。そもそもなぜこのようなネーミングがされてきたのかを理解しなければならない（専門家なのなら）。

Hiromitsu Takagi @HiromitsuTakagi

この攻撃が金融業界にとって大きな脅威であるのは、2005年にFFIEC（米国連邦金融機関検査協議会）が two（or three）factor authentication（二要素（多要素）認証）を推奨したことから普及が進んだ、ワンタイムパスワード生成器（トークン）等を…

Hiromitsu Takagi @HiromitsuTakagi

…トークン等をかいくぐるものだからで、その原理は、トランザクション（振込操作等の通信）を中継し、クライアントからサーバへのリクエスト中にある振込先の口座番号を攻撃者のものに差し替え、レスポンスにある「ここに振り込みますか？」の確認画面にある口座番号を元に戻すという手口である。

Hiromitsu Takagi @HiromitsuTakagi

この手口が最初に確認されたのは、2006年にCitibankが被害に遭った事件。このときは、フィッシングサイトに利用者を誘い込んでサイトが中継する方法によるものだった。これは、攻撃手段の実現方式の類型として、まさに中間者攻撃であった。詳細：http://t.co/cbS47GcP

Hiromitsu Takagi @HiromitsuTakagi

この攻撃手法（トランザクション中のクエリの差し替えや追加）は、フィッシングサイトによる方法以外に、クライアントPC内のマルウェアによっても実現可能であるわけで、その一形態として、ブラウザの通信部分に介入するものが現れて、Man-in-the-Browserと呼ばれるようになった。

Hiromitsu Takagi @HiromitsuTakagi

Man-in-the-Browser（MITB）という新しい名前が登場したのは、通信路上では Man-in-the-Middle（MITM）で初めて可能となるこの攻撃手法を通信路上以外で行うものであることから、MITMとは別でありながらそれを連想させる名前が必要だったからだろう。

Hiromitsu Takagi @HiromitsuTakagi

したがって、単に、マルウェアがブラウザに介入する方式のすべての攻撃手法をMan-in-the-Browser（MITB）と呼ぶのは、これらの経緯からして不適切な拡張である。今回発生中の事案は、トランザクションを差し替える手法ではなく、単に画面に何かを挿入するもののようだ。

Hiromitsu Takagi @HiromitsuTakagi

推測するに、今回の手法は、マルウェアがIEに入り込んでいて、IEが特定のWebページを表示したときに、マルウェアがDOM経由でHTML要素（おそらくSCRIPT要素）を注入しているのではないか。