この記事のポイント
- AiTM はパスワード窃取より一段危険で、認証後のセッションまで奪うため、MFA を入れていても被害が成立することがあります。
- 問題の本質は MFA の存在ではなく、どの方式を使い、セッション失効や条件付きアクセスをどこまで運用できているかです。
- ASM診断 PRO は AiTM 自体を止める製品ではありませんが、偽導線に使われやすい公開ログイン面や外部接点の棚卸しに役立ちます。
まず無料で確認する
無料でASM診断を開始
中間者フィッシングで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
中間者フィッシングとは何か
AiTM は、利用者と本物のサービスの間に中継レイヤーを挟み、認証情報だけでなく認証後のセッションも奪う手口です。
AiTM は、偽の中継画面で認証処理そのものを通してしまう手口です
中間者フィッシングは、利用者を偽のログイン画面へ連れていくだけの古典的なフィッシングとは少し違います。AiTM では、利用者と本物のサービスの間に中継役の画面を挟み、利用者が入力した情報や認証後の状態をその場で横取りします。
Microsoft のFrom cookie theft to BECでは、AiTM 型のフィッシングサイトがパスワードだけでなくセッション用クッキーを奪い、MFA が有効な利用者でも認証済みセッションを悪用された流れが整理されています。つまり、問題は「MFA が壊れた」ことではなく、認証が終わった後の状態まで盗まれることです。
普通のフィッシングとの違いは、認証後の状態を渡してしまうことです
broad hub として全体像を整理したフィッシング対策の中では、フィッシングは入口全般を扱います。その中で AiTM を切り出す理由は、「だまされてパスワードを入れる」だけでは終わらず、MFA を通った後のセッションまで奪われるからです。
そのため、「MFA を入れているから安全」と考えている組織ほど誤解しやすい手口です。一般的なメール訓練やパスワード変更だけでは十分ではなく、認証方式、セッション失効、条件付きアクセスまで一体で見直す必要があります。
攻撃手順の理解より、なぜ成立するのかの理解が重要です
ここで大事なのは、攻撃手順や具体的な中継方法に降りることではありません。実務で重要なのは、AiTM が成立する条件を理解することです。利用者が本物だと思って認証を進めること、認証後のセッションがそのまま使えること、異常ログインや失効処理が遅いことが重なると、被害が広がります。
つまり、AiTM 対策はフィッシング教育だけではなく、認証後の状態をどう守るか、怪しいログイン誘導を受けた時に何を失効するか、外から見えるログイン面やブランド導線をどう整理するかの問題でもあります。
なぜ成立するのか、どこが盲点になるのか
| 盲点 | なぜだまされやすいか | 実務上の弱点 |
|---|---|---|
| MFA を入れているから安全だと思い込む | 認証後のセッション悪用までは想定しにくい | 方式の強さと失効手順が点検されていない |
| 本物らしいログイン画面に見える | 中継画面でも利用者体験が大きく崩れないことがある | ログイン導線とブランド接点が散らばっている |
| 認証後の異常を見つけにくい | パスワード変更だけで収まったと誤解しやすい | セッション失効、端末再認証、トークン再発行が遅い |
| 高権限者や委託先の例外運用が残る | 例外アカウントほど条件付きアクセスの外に残りやすい | MFA 例外と高権限が結び付く |
| 公開されたログイン面や古い案内が多い | 本物らしい導線を攻撃者が補強しやすい | 公開導線の棚卸しと認証運用が分断している |
MFA があるのに成立するのは、認証後のセッションが主役だからです
Microsoft は上記の分析で、AiTM がセッション用クッキーを使って利用者になりすます点を強調しています。ここで読むべきポイントは、「MFA は無意味」ではなく、認証後のセッションが奪われると、MFA を通過した状態ごと持っていかれることです。
だから対策は、MFA の有無だけでなく、どの方式なのか、端末や場所の条件を見ているか、異常なセッションをどう止めるかまで含める必要があります。「認証情報を変えれば終わり」という初動では不足します。
強い認証へ寄せないまま、例外運用を残すと危険が増えます
Microsoft のIdentity Protection Guideや CISA のUSDA Stops Credential Phishing with FIDO Authenticationが示すのは、単に MFA を導入するのではなく、よりフィッシング耐性のある方式へ寄せることの重要性です。移行前でも、少なくとも高権限者や例外アカウントを SMS や弱いプッシュ承認のまま残すのは危険です。
ここはMFA未適用アカウントの話とも地続きです。AiTM は「MFA あり環境でも成立する」手口ですが、だからこそ例外アカウントや弱い方式を残している組織ほど、より不利な状態になります。
だまされやすい公開導線が多いほど、AiTM も成立しやすくなります
AiTM は認証中継の問題に見えますが、入口はふつうのフィッシングと同じです。本物らしいログイン導線、似たドメイン、古いサポート案内、外から見える認証画面が多いと、利用者は偽導線を見分けにくくなります。
そのため、対策は認証基盤だけでは完結しません。外部接続点の可視化やブランド悪用対策とつなげて、攻撃者が本物らしさを補強できる材料を減らす必要があります。
被害の広がり方と企業側のリスク
ログイン異常の報告とセッション失効の手順が遅い
パスワード変更前後の空白時間で追加被害が起こりやすくなるためです。
利用者教育と認証運用が別チームで分断している
入口対策と突破後対策が切れて、同じ弱点が残りやすくなるためです。
入口は phishing、被害の本体はセッション悪用です
AiTM の被害が大きく見えるのは、入口は普通のフィッシングでも、被害の本体が認証後セッションの悪用だからです。利用者が入力したパスワードを変えるだけでは足りず、既に発行されたセッションやトークンを止める必要があります。
この観点で読むと、LastPass の情報漏えいやOkta の事例は、「秘密情報やセッションが取られた後に何が起きるか」を考える材料になります。AiTM も同様に、突破後の被害管理まで含めて設計しないと止まりません。
高権限アカウントほど、突破後の被害は急拡大します
中間者フィッシングで特に危険なのは、高権限者や委託先アカウントが狙われた場合です。メール、クラウド管理、サポート、決裁系のアカウントが認証済みセッションごと悪用されると、追加の横展開や社外連絡、送金詐欺、設定変更までつながりやすくなります。
そのため、AiTM の話を「利用者向けの注意喚起」で閉じるのは弱いです。経営、IT、委託先管理、ブランド管理が同じテーブルで優先度を付ける必要があります。
検知・防御・運用で押さえるべき対策
MFA の方式と例外アカウントを棚卸しする
SMS、プッシュ通知、認証アプリ、FIDO / WebAuthn、条件付きアクセスの適用状況を洗い出し、高権限者や委託先に残っている例外を先に見つけます。
認証方式の現状把握フィッシング耐性のある認証方式へ寄せる
攻撃者が中継画面を挟んでも通りにくい方式を優先し、難しい領域は番号照合や追加条件で補強しながら移行計画を作ります。
強い認証への移行セッション失効と異常ログイン対応を短くする
クッキーやセッションが奪われた前提で、強制ログアウト、トークン失効、端末再認証、管理者確認の流れを標準化します。
突破後の被害抑制偽導線に使われやすい公開面とブランド接点を減らす
ログイン画面、サポート窓口、古いサブドメイン、似た公開導線を棚卸しし、本物らしさを補強する材料を減らします。
だまされやすい導線の削減報告と再認証の運用を月次で見直す
怪しいログイン誘導の報告件数、強制失効までの時間、フィッシング耐性 MFA の適用率、例外アカウント削減率を継続的に確認します。
再発防止の定着強い認証へ寄せながら、移行期の弱点も埋めるべきです
USDA の事例は、従来の例外やカード未配布の事情がある環境でも、FIDO のようなフィッシング耐性のある認証へ寄せる価値を示しています。すぐに全社移行できなくても、高権限者、管理者、委託先から優先して寄せるべきです。
同時に、移行期の弱点も埋める必要があります。弱い方式を残す領域では、条件付きアクセス、番号照合、異常セッション監視、端末信頼、短い失効フローを組み合わせて、「突破されても広がりにくい」状態を先に作ります。
AiTMで本物らしく見せやすい公開導線の棚卸しなら ASM診断 PRO
AiTM 自体を止める製品ではありませんが、偽導線に信頼感を与えやすい公開ログイン面や外部接点の棚卸しを始める補助線として使いやすい構成です。
ASM診断 PRO は中間者フィッシングそのものを検知する製品ではありません。ただし、AiTM が本物らしく見える前提には、外から見えるログイン導線、古いサポート窓口、残ったサブドメイン、放置された公開面が関わります。こうした材料が多いと、利用者は偽導線を本物だと思いやすくなります。
ASM診断 PRO なら、そうした外部接点を外から見える範囲で棚卸しし、どの導線を止め、何を統一し、どこを強く保護すべきかを整理しやすくなります。認証基盤の設定変更だけでなく、攻撃者が本物らしさを作る材料を減らしたい時の補助線として使えます。
次のアクション
公開導線の棚卸しを無料で始めてください
ログイン画面、サポート接点、古い公開面、ブランドに近い外部導線を外から見える範囲で洗い出し、AiTM の偽導線に使われやすい材料の見直しを始められます。
よくある質問(FAQ)
中間者フィッシングと普通のフィッシングは何が違いますか
普通のフィッシングは認証情報を入力させることが中心ですが、AiTM は認証処理を中継し、認証後のセッションまで奪う点が違います。そのため、MFA を導入していても被害が成立することがあります。
MFA を入れていれば AiTM は防げますか
「MFA がある」だけでは不十分です。方式の強さ、例外アカウント、条件付きアクセス、セッション失効手順まで含めて整えないと、認証後の状態を悪用される余地が残ります。
どのアカウントから優先して見直すべきですか
管理者、高権限者、委託先、外部接続に使うアカウントからです。影響範囲が大きく、例外運用が残りやすいからです。一般利用者より先に、危険な例外を減らす方が効果が出やすいです。
最初にやるべき初動はパスワード変更だけですか
いいえ。パスワード変更に加えて、セッション失効、トークン再発行、端末再認証、条件付きアクセスの見直しまで同時に行うべきです。AiTM は認証後セッションが主役だからです。
ASM診断 PRO は AiTM を直接検知しますか
いいえ。ASM診断 PRO は中間者フィッシングの検知製品ではありません。役割は、偽導線に信頼感を与えやすい公開ログイン面や外部接点を棚卸しし、外から見える材料を減らすことです。認証強化やセッション対策と併用する前提です。
まとめ
AiTM 対策は、利用者教育だけでなく、強い認証、端末信頼、条件付きアクセス、セッション失効、報告導線を重ねて運用すると、認証後セッションを奪われる条件そのものを減らしやすくなります。
中間者フィッシングは、利用者と本物のサービスの間に偽の中継画面を挟み、認証情報だけでなく認証後のセッションまで奪う手口です。危険なのは「MFA が無意味」ということではなく、認証後の状態を悪用されると、MFA 導入済みでも被害が成立することです。
企業が優先すべきなのは、方式の弱い MFA や例外アカウントを減らすこと、フィッシング耐性のある認証方式へ寄せること、セッション失効と異常ログイン対応を短くすること、そして偽導線に使われやすい公開ログイン面や外部接点を減らすことです。利用者教育だけで終わらせず、認証と公開導線の運用までまとめて整えてください。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
AiTM がパスワードだけでなくセッション用クッキーを奪い、MFA 有効ユーザーでも認証済みセッションを悪用できる点の整理に使用しました。
フィッシング耐性のある認証、条件付きアクセス、端末条件など、AiTM 対策を認証運用全体で見るために使用しました。
フィッシング耐性のある認証方式へ移行する意義と、例外運用が残る環境でも改善できることの整理に使用しました。
MFA 一般論とフィッシング耐性のある認証の位置づけを確認するために使用しました。