Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

Man-in-the-Browser Attack (MITB): 定義と防御

アダプティブな多要素認証でデータ漏えい、弱いパスワード、フィッシング攻撃に対抗する方法を解説します。

更新済み: 2024年08月31日 読了目安時間: ~

トピック

Security

目次

 

この記事は機械翻訳されました。

 

全アメリカ人の約半数が 、オンライン銀行は実店舗の銀行にはない特典を提供していると回答しています。彼らはすべての銀行取引を行うためにオンラインに向かいます。オンラインバンキングには多くの利点がありますが、消費者はハッカーから身を守る必要があります。

注意すべき攻撃の種類の 1 つに、man-in-the-browser 攻撃があります。

マン・イン・ザ・ブラウザ攻撃は、マルウェアから始まります。ウイルスをダウンロードすると、プログラムはブラウザシステムの一部を利用します。次に、IT部門はコンテンツを変更したり、トランザクションを承認したりします。 ITが展開するにつれて、この攻撃は見られないかもしれません。

この攻撃形態について、さらに深く掘り下げてみましょう。 MITBセキュリティを強化するために使用できる重要なヒントを提供します。

マン・イン・ザ・ブラウザ攻撃とは?

MITB攻撃では、ハッカーがコンピュータとサーバー間の会話に介入します。ハッカーは、ITが行き来するデータを見て、メモを傍受して操作してから、別の当事者に公開することができます。

これは、さまざまな結果をもたらす可能性があります。たとえば、最近のレポートでは、ハッカーがMITB攻撃を使用して エンジニアに生物兵器を作るように誘導できることが示されました。IT は、次のようになります。

  1. バイオエンジニアは、DNA合成会社概要とのコミュニケーションラインを開きます。
  2. エンジニアは、シーケンスのコードを注文として送信します。
  3. ハッカーが介入し、メッセージをつかみます。
  4. ハッカーはシーケンスを変更します。
  5. 会社概要が変更された品目を作成し、どちらの側も何かが変更されたことを知りません。

MITB は、 プロキシ トロイの木馬攻撃に似ています。ここでは、ハッカーが被害者のコンピューターを乗っ取り、すべてのメモを傍受してから、意図した受信者に公開します。

Man-in-the-Browser攻撃は、Boy-in-the-Browser攻撃と多くの共通点があります。 Boy-in-the-browser攻撃はそれほど重要ではなく、コンピュータのルーティングパスを変更することを伴います。 このツールを使用すると、ハッカーが大規模な盗難を実行するのが難しくなります。

マン・イン・ザ・ブラウザ攻撃の仕組み

ハッカーは、あなたの側で微妙なミスを犯さずにあなたの会話に介入することはできません。そのエラーが、プロジェクト全体を動かしてしまうのです。

ハッカーは、攻撃を開始するために操作できるマルウェアをダウンロードする必要があります。一部のハッカーは、 ソーシャルプレッシャーのフォーム を使用して、マルウェアをダウンロードさせます。 IT があなたの知り合いから来ているか、または知っている人に接続されているため、IT が信頼できると思われる投稿やリンクが表示される場合があります。 しかし、その人物はハッキングされており、ハッキングの一環として、誤って投稿を共有してしまいました。

マルウェアが動作し始めると、MITB ハッカーはブラウザを機能させるアイテムを操作します。 これらの作品には次のものが含まれます。

  • 拡張 機能
  • ヘルパー オブジェクト
  • API フック
  • Javascriptの

これらの項目の一部はオフにすることができます。たとえば、Javascript は 悪意のある Ajax ワームを駆り立てるのに役立ちます。ブラウザがこのようなファイルを実行しないようにすることができます。しかし、ハッカーが操作するアイテムの中には、単にオフにできないものもあります。

MITB セキュリティの基本

あなたの金融会話は非公開で保護されるべきです。誰もあなたとあなたの銀行の間に介入することはできません。しかし、貴重なデータをMITB攻撃から保護することは必ずしも容易ではありません。多面的なアプローチが必要な場合があります。

既知のソリューションには、次のものがあります。

  • 安全なブラウザを使用する。 一部のブラウザには、このようなハッキングに対する保護が付属しています。
  • MFA、または帯域外 (OOB) トランザクションの検証。 OOBトランザクション中、詳細はWebブラウザに加えて2番目のチャネルで検証されます。たとえば、取引が完了する前に、銀行からスマートフォンに通知が送信され、入力したデータを確認する場合があります。MFA は OOB 検証の一種です。
  • ソフトウェアを最新の状態に保つ。 ウイルス対策ソフトウェアは、ITがコンピューターにヒットすると、マルウェアの一部のフォームをキャッチできます。 ただし、ソフトウェアはできるだけ頻繁に更新する必要があります。古いバージョンのソフトウェアには、堅牢な保護が付属していない場合があります。

HMACを使用するOktaの支援

ハッカーに対する最善の防御は、良い攻撃です。Okta がデジタルインタラクションの保護にどのように役立つかをご覧ください。

参考文献

オンラインバンキングは、もはやミレニアル世代だけのものではありません。ITは急速に標準になりつつあります。 (2019年11月)。ビジネスインサイダー。

サイバーセキュリティの欠陥は生物学的攻撃につながる可能性があります: レポート。(2020年12月)。情報セキュリティマガジン。

マン・イン・ザ・ブラウザ攻撃。OWASPです。

ブラウザ攻撃のマンからの保護。(2016年12月)。ベータニュース。

新しい HTTPS 専用モードは、Firefox 83 のユーザーに安全なブラウジングを提供します。(2020年11月)。セキュリティ大通り。

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ