PR

 マン・イン・ザ・ブラウザー攻撃の略。PCなどに感染したウイルスが、Webブラウザーと外部サーバーとの通信を傍受し、一部を改ざんするサイバー攻撃のこと。特に2014年5月、国内オンラインバンキングの不正送金攻撃に使われたことで話題になった。 

 不正送金の場合、ウイルスはまず銀行の正規サイトへのアクセスを検知して、活動を開始。利用者に対して偽画面を表示し、パスワード入力などの認証手続きを踏ませた上で、利用者に気づかれない形で送金先口座と金額のデータを改ざんし、銀行のサーバーに送信する。

 ブラウザーを事実上乗っ取るMITB攻撃では、銀行のサーバーからは正規のPCから正しく認証手続きを踏んでいるように見える。このため、ワンタイムパスワードや電子証明書による認証でもなりすましを見破ることができない。

 MITB攻撃を防ぐには、取引内容(トランザクション)の改ざんを、PCとは別の経路で確認する「トランザクション認証」の仕組みが必要になる。例えば、テンキー付のトークンを使い、テンキーに振込先口座番号を入力することで、時刻情報に加え口座番号ともひもづいたワンタイムパスワードを生成する方法や、スマートフォンの専用アプリに取引内容を送付し、改ざんがないかユーザーに確認を求める方法などがある。