用語「中間者攻撃」と「Man-in-the-Browser」の濫用について

Hiromitsu Takagi @HiromitsuTakagi

マルウェアがブラウザをDOM経由で操作しスクリプトを注入する方式（※1）は、様々な形態の攻撃手法があり得るわけで、それをすべてMITBと呼んでしまえば、元のMITMから派生した趣旨が吹っ飛んでしまう。※1の方式のことを言いたいのなら、別の名前で呼ぶべきだろう。

三上洋 @mikamiyoh

.@HiromitsuTakagi @piyokango 筆者の三上洋です。私の理解が浅く、そのまま書いてしまいました。勉強し直して訂正致します。申し訳ありません。ご指摘ありがとうございます

Hiromitsu Takagi @HiromitsuTakagi

MITBのキモは、乱数表やワンタイムパスワード生成器（そしてブラウザも）が利用者に正しく使われていても防げないところにある。今回の事案はそうではない。

Hiromitsu Takagi @HiromitsuTakagi

「ブラウザの中にいるんだからMITBでいいじゃん」というのは、通信路上の攻撃において、中継しなくても可能な攻撃方法を中継して実現した攻撃について中間者攻撃と呼ぶというのと同じことであり、専門家はそういった用語の濫用をしない。

Hiromitsu Takagi @HiromitsuTakagi

WikipediaのMITBのエントリ（英語版） http://t.co/Il7AEAPr もちゃんとそのように説明されている。 「modify transaction content or insert additional transactions, all in a …」

Hiromitsu Takagi @HiromitsuTakagi

対策には、原理的に言って、マルウェアに感染し得ない何らかの外部装置をトランザクションの確認（又は保証）用として必要であり、 http://t.co/tvLa23ky http://t.co/NhDbaKqK などがある。

Hiromitsu Takagi @HiromitsuTakagi

携帯電話のSMSを用いて、トランザクションの確認コードを利用者に送信して入力させる対策は、既に攻撃されているようで、Man-in-the-mobile と名がついたようだ。 http://t.co/bdAcDHeg

Hiromitsu Takagi @HiromitsuTakagi

そういう意味での真の Man-in-the-Browser攻撃による金融機関の被害は、日本ではまだ確認されていない。（誰も気付いていないだけの可能性もある。）

Hiromitsu Takagi @HiromitsuTakagi

それもそのはず。犯罪者にしてみれば、より成功確率の高い方式を選ぶわけで、日本の現時点では、乱数表を全部入力させる方式の方が成功確率が高いのだろう。（真のMan-in-the-Browserでは利用者が、振り込み操作の完了まで進む必要があるが、今回の被害事例ではその必要がない。）

Hiromitsu Takagi @HiromitsuTakagi

成功確率は、銀行サイトの設計で乱数表の入力が、ログイン時か振り込み時かで異なってくる。前者では、ログインした時点で「insert additional transactions」ができるが、後者では、「modify transaction content」しかできない。後者では…

Hiromitsu Takagi @HiromitsuTakagi

…後者では、利用者を騙して、乱数表の値を全部入力させる方が成功確率が高い（現在の日本においては）のだろう。報道によると（10月30日時点）、不正な画面を見た人64人中、50人が入力してしまったとされている。http://t.co/RSZkfCZy

Hiromitsu Takagi @HiromitsuTakagi

フィッシング対策が進んでそれでは攻撃が成功しにくくなった結果、このような手口が広がっているわけで、今後、「乱数表を全部入力しないで」との啓発が進み、又はワンタイムパスワード生成器への移行が進めば、いずれ真のMITB攻撃が中心を占めるようになると思われる。そのときの対策は限られる。

TAKAGI, Hiromitsu @TakagiHiromitsu

今日は、産総研オープンラボで、ポスター展示に立っています。明日までです。 http://t.co/k9B3rpLc I-55 マルウェア汚染下での安全な取引方式の開発 [第2会場] http://t.co/GCkUNSlr