マン・イン・ザ・ブラウザとは？わかりやすく解説

マン・イン・ザ・ブラウザ（Man in the Browser、MITB）とは、プロキシ型トロイの木馬というマルウェアによってWebブラウザの通信を盗聴、改竄を行う攻撃である。具体例としては、オンラインバンキングへのログインイベントなどを検知するとその通信を乗っ取って、振込先を改竄して預金を盗む事例などが挙げられる^[1]^[2]。

改竄先の口座を開設するのは「ミュール」と呼ばれる者で、インターネット上の広告で犯罪行為と分からない形で募集される。ミュールの口座は盗んだ金の一時送金場所となり、そこからミュールが攻撃者に金を送金する。マン・イン・ザ・ブラウザは2008年ごろに発見されたが、2009年春以降に被害が増加した^[3]。

2012年1月から3カ月にわたってヨーロッパを皮切りに、マン・イン・ザ・ブラウザを用いた大規模なサイバー金融詐欺事件（「オペレーション・ハイ・ローラー」）が発生した^[4]。

例

トロイの木馬作成ツール（いわゆるクライムウェア）Zeus、SpyEye等によって作成されたものが典型的である^[5]。

Zeusには、その進化版（亜種）としてCitadelなどがある^[6]^[7]。また、zeusについては、日本の銀行を対象とした版（亜種）も発見されている^[8]。

SpyEyeによるトロイの木馬については、日本でも感染が報告されている^[9]。

防護策

アンチウイルスソフトウェア

既知のトロイの木馬については検出して駆除できる可能性がある。ただし、その検出率は高くない ^[10]。

堅牢化ソフトウェア

ブラウザセキュリティソフトウェア： IBM Security Trusteer Rapport、SecureBrain PhishWall、FFRI Limosa等
代替ソフトウェア：既知のトロイの木馬の大部分がMicrosoft Windows上のInternet Explorer上で動作するので、FirefoxやChrome等、他のソフトウェアを用いることが示唆されることがある^[11]。

帯域外トランザクション検証

理論的に有効な手段として、トランザクション署名を検証しつつ、別経路（帯域外 Out of Band）でユーザに通知するプロセスが挙げられる^[12]^[13]。

参考

ブラウザセキュリティ

脚注

[脚注の使い方]

^ “MITB攻撃とは”. ITpro (2014年7月16日). 2015年6月6日閲覧。
^ “MITB(マン・イン・ザ・ブラウザー)攻撃とは”. 日立ソリューションズ (2009年10月20日). 2014年4月5日閲覧。
^ “こっそりと送金先を変えるオンラインバンキング犯罪に注意”. ITmedia (2009年9月29日). 2014年4月5日閲覧。
^ Dave Marcus; Ryan Sherstobitoff (2012年7月6日). “分析：Operation High Roller” (PDF). McAfee, Guardian Analytics. 2015年6月8日閲覧。
^ Symantec Security Response (2010年3月10日). “「SpyEye」と「Zeus」の両ボットを比較”. ITpro. 2015年6月7日閲覧。
^ 高橋睦美 (2012年10月30日). “Zeus、SpyEyeに続く第三のトロイ「Citadel」がさらに巧妙化”. @IT 2015年6月8日閲覧。
^ 三上洋 (2014年5月16日). “対策ソフトで検知不能、ネット銀行被害最悪に”. YOMIURI ONLINE 2015年6月8日閲覧。
^ 永沢茂 (2013年2月3日). “トロイの木馬「Zeus」に、日本の銀行を狙い打ちする亜種発見”. INTERNET Watch 2015年6月9日閲覧。
^ 朝長秀誠 (2011年6月15日). “SpyEyeウイルスに感染したクライアントPCを調査”. ITpro. 2015年6月9日閲覧。
^ Kelly Jackson Higgins (2009年9月26日). “Antivirus Rarely Catches Zbot Zeus Trojan”. DARK Reading. 2015年6月6日閲覧。
^ Michael Horowitz (2012年2月9日). “Online banking: what the BBC missed and a safety suggestion”. COMPUTER WORLD. 2015年6月7日閲覧。
^ 高橋睦美 (2014年4月10日). “本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を”. @IT. 2015年6月7日閲覧。
^ 亀田治伸 (2014年6月13日). “マンインザブラウザ攻撃とトランザクション署名”. キーマンズネット. 2015年6月6日閲覧。
^ Noa Bar-Yosef (2010年12月30日). “The Evolution of Proxy Trojans”. SECURITY WEEK. 2015年6月7日閲覧。
^ 金子拓郎 (2009年9月30日). “RSAが明かす、口座振込を横取りするMITBの恐怖”. アスキー・メディアワークス. 2015年6月6日閲覧。
^ 後藤大地 (2011年2月21日). “「ボーイ・イン・ザ・ブラウザ」攻撃、復活のきざし”. マイナビ 2014年4月8日閲覧。

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[1] “MITB攻撃とは”. ITpro (2014年7月16日). 2015年6月6日閲覧。

[2] “MITB(マン・イン・ザ・ブラウザー)攻撃とは”. 日立ソリューションズ (2009年10月20日). 2014年4月5日閲覧。

[3] “こっそりと送金先を変えるオンラインバンキング犯罪に注意”. ITmedia (2009年9月29日). 2014年4月5日閲覧。

[4] Dave Marcus; Ryan Sherstobitoff (2012年7月6日). “分析：Operation High Roller” (PDF). McAfee, Guardian Analytics. 2015年6月8日閲覧。

[5] Symantec Security Response (2010年3月10日). “「SpyEye」と「Zeus」の両ボットを比較”. ITpro. 2015年6月7日閲覧。

[6] 高橋睦美 (2012年10月30日). “Zeus、SpyEyeに続く第三のトロイ「Citadel」がさらに巧妙化”. @IT 2015年6月8日閲覧。

[7] 三上洋 (2014年5月16日). “対策ソフトで検知不能、ネット銀行被害最悪に”. YOMIURI ONLINE 2015年6月8日閲覧。

[8] 永沢茂 (2013年2月3日). “トロイの木馬「Zeus」に、日本の銀行を狙い打ちする亜種発見”. INTERNET Watch 2015年6月9日閲覧。

[9] 朝長秀誠 (2011年6月15日). “SpyEyeウイルスに感染したクライアントPCを調査”. ITpro. 2015年6月9日閲覧。

[10] Kelly Jackson Higgins (2009年9月26日). “Antivirus Rarely Catches Zbot Zeus Trojan”. DARK Reading. 2015年6月6日閲覧。

[11] Michael Horowitz (2012年2月9日). “Online banking: what the BBC missed and a safety suggestion”. COMPUTER WORLD. 2015年6月7日閲覧。

[12] 高橋睦美 (2014年4月10日). “本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を”. @IT. 2015年6月7日閲覧。

[13] 亀田治伸 (2014年6月13日). “マンインザブラウザ攻撃とトランザクション署名”. キーマンズネット. 2015年6月6日閲覧。

[14] Noa Bar-Yosef (2010年12月30日). “The Evolution of Proxy Trojans”. SECURITY WEEK. 2015年6月7日閲覧。

[15] 金子拓郎 (2009年9月30日). “RSAが明かす、口座振込を横取りするMITBの恐怖”. アスキー・メディアワークス. 2015年6月6日閲覧。

[16] 後藤大地 (2011年2月21日). “「ボーイ・イン・ザ・ブラウザ」攻撃、復活のきざし”. マイナビ 2014年4月8日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134)
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）

表話編歴マルウェア
伝染性マルウェア	コンピュータウイルスコンピューターウイルスの一覧ワームワームの一覧（英語版）コンピュータウイルスとワームの年表
潜伏手法	トロイの木馬ルートキットバックドアゾンビコンピュータ中間者攻撃マン・イン・ザ・ブラウザ
収益型マルウェア	プライバシー侵害ソフトウェア（英語版）アドウェアスパイウェアボットネットキーロガー Web threat（英語版）詐欺ダイヤラーマルボットスケアウェア偽装セキュリティツールランサムウェア
OS別マルウェア	Linuxにおけるマルウェア携帯電話ウイルスマクロウイルス
マルウェアからの保護	アンチキーロガー（英語版）アンチウイルスソフトウェアブラウザ・セキュリティ（英語版）モバイル・セキュリティ（英語版）ネットワーク・セキュリティ防御コンピューティング（英語版）ファイアウォール侵入検知システムデータ損失防止ソフトウェア（英語版）
マルウェアへの対策	コンピュータサーベイランス（英語版）ボットロースト作戦（英語版）ハニーポットスパイウェア対策連合（英語版）
カテゴリ

マン・イン・ザ・ブラウザとは？わかりやすく解説