マン・イン・ザ・ブラウザ攻撃とは？ブラウザに侵入して取引情報をリアルタイムで改ざんする攻撃

マン・イン・ザ・ブラウザ攻撃とは？ざっくりと3行で

マルウェアがブラウザのプラグイン・拡張機能・DLLインジェクションを利用してブラウザ内部に潜伏し、正規サイトとの通信内容をユーザーが気づかないまま改ざんするサイバー攻撃のこと
HTTPS通信が確立されてからブラウザ内部で改ざんが行われるため「URLが正しい・鍵マークがある・ログインに成功した」という状態でも被害を受けるため通常のMITM対策が効かない
オンラインバンキングや株取引での振込先口座番号・振込金額の書き換えが代表的な被害で、ユーザーが確認画面で見た内容とサーバーが実際に処理した内容が異なるという形で攻撃が成立する

【深掘り】これだけ知ってればOK！
よくある誤解
1. HTTPSで接続していればMITB攻撃を受けないと思っている
2. 二要素認証があればMITB攻撃を防げると思っている
会話での使われ方
【まとめ】3つのポイント
よくある質問
【出典】参考URL

【深掘り】これだけ知ってればOK！

MITB攻撃の主な手口を整理しよう。フォームグラビング：ユーザーがフォームに入力したデータ（ID・パスワード・カード番号）を送信前に横取りする。HTML改ざん：ブラウザが表示するHTMLをリアルタイムで書き換えて、振込先口座・金額・確認コードを差し替える。コンテンツインジェクション：正規サイトのページに不正なフォームや偽の確認メッセージを挿入する。

MITB攻撃への主な対策を整理しよう。エンドポイントセキュリティ（ウイルス対策ソフト・EDR）：マルウェアのブラウザへの侵入を防ぐ。取引認証（トランザクション認証）：銀行が振込明細をSMSや別チャネルで送ってユーザーが確認・承認する。ブラウザが改ざんされていても、SMS経由の確認で正規の取引内容を確認できる。ハードウェアトークン：One-Time Password（OTP）を生成するデバイスを使った追加認証。

MITB攻撃とMITM攻撃の違いを理解しよう。MITM攻撃はネットワーク経路（通信経路）に割り込む攻撃でHTTPSで防御できる。MITB攻撃はブラウザ内部に侵入する攻撃でHTTPS確立後に改ざんが行われるためHTTPS単体では防御できない。MITB攻撃への対策はエンドポイントのマルウェア対策と別チャネルでの取引確認が核心だ。

日本での具体的な被害事例としてインターネットバンキングへの不正送金がある。警察庁の発表によると、MITB攻撃を利用したインターネットバンキングへの不正送金被害は国内でも複数件発生しており、数百万円〜数千万円規模の被害が報告されている。特に法人口座への攻撃では1件あたりの被害額が大きくなる傾向がある。

MITB攻撃を防ぐためのブラウザセキュリティ強化として、不要なブラウザ拡張機能を無効化・削除することが効果的だ。MITB攻撃の多くはブラウザ拡張機能を偽装したマルウェアが出発点になる。また定期的なOSとブラウザのアップデートで既知の脆弱性を悪用されるリスクを下げることも重要だ。

よくある誤解

HTTPSで接続していればMITB攻撃を受けないと思っている

MITB攻撃はHTTPS通信が確立された後にブラウザ内部で改ざんが行われるためHTTPSで防御できない。URLが正しく鍵マークが表示されていてもブラウザにマルウェアが侵入していれば取引内容が改ざんされる可能性がある。

二要素認証があればMITB攻撃を防げると思っている

通常の二要素認証（同じブラウザ上でのワンタイムパスワード入力）はMITB攻撃で改ざんされる可能性がある。MITB対策として有効なのは、銀行がSMSや専用アプリで「実際に処理される取引の明細」を別チャネルで確認させる「取引認証（トランザクション認証）」の仕組みだ。

会話での使われ方

インターネットバンキングで振込したはずなのに全然違う口座に送金されていました。MITB攻撃の可能性があります。すぐに銀行に連絡して、PCのウイルス検査もしてください。

セキュリティ担当者がMITB攻撃による不正送金の被害を受けた顧客に対処を指示している場面。

当社のオンラインバンキングシステムにトランザクション認証を導入しました。振込の際に銀行からSMSで振込明細が届いて、ユーザーが承認する仕組みです。MITB攻撃でブラウザが改ざんされても実際の取引内容を確認できます。

金融システムのエンジニアがトランザクション認証の仕組みを説明している場面。

ブラウザ拡張機能の数が多すぎます。使っていないものは全部削除してください。MITB攻撃の多くは拡張機能を偽装したマルウェアが侵入口になります。

情報セキュリティ担当者が社員のブラウザセキュリティを強化するため不要な拡張機能の削除を指示している場面。

【まとめ】3つのポイント

ブラウザ内部に潜伏して取引内容をリアルタイム改ざんする高度な攻撃：HTTPS通信確立後にブラウザ内部で改ざんが行われるためHTTPS単体では防御できずエンドポイントのマルウェア対策と別チャネルでのトランザクション認証が核心的な対策となる
MITM攻撃と異なりHTTPS確立後のブラウザ内部が攻撃の場：ネットワーク経路に割り込むMITM攻撃とは異なりブラウザにマルウェアが侵入してHTTPS通信の暗号化が解かれた後の平文データを改ざんするためネットワーク暗号化だけでは防御できない
トランザクション認証とエンドポイントセキュリティが主要な防御策：SMSや専用アプリで実際に処理される取引の明細を別チャネルで確認するトランザクション認証がMITB攻撃への最も有効な対策でエンドポイントのマルウェア対策との組み合わせが重要だ

よくある質問

Q MITB攻撃にはどのようなウイルス対策ソフトが有効ですか？: A

エンドポイント保護（EPP）やEDR（Endpoint Detection and Response）ツールがMITB攻撃のマルウェアを検出・防御するのに有効です。ただし最新のMITBマルウェアはウイルス対策ソフトを回避する能力を持つ場合もあるため多層防御が重要です。

Q 銀行のトランザクション認証（取引認証）とは何ですか？: A

振込などの取引時に銀行がSMSや専用アプリで「実際に処理しようとしている取引の振込先・金額」を別チャネルで通知してユーザーが承認する仕組みです。ブラウザが改ざんされていても実際の取引内容を別チャネルで確認できます。

Q MITB攻撃を受けたかどうかはどうやって確認しますか？: A

PCのウイルススキャン・ブラウザの拡張機能の確認・不審なプロセスの確認が基本です。不正送金が疑われる場合はすぐに銀行に連絡してインターネットバンキングの利用を一時停止することが重要です。

Q 法人口座はMITB攻撃のリスクが高いですか？: A

はい。法人口座は振込上限額が高く一度の攻撃で被害額が大きくなるため標的になりやすい傾向があります。法人のインターネットバンキングでは専用端末の使用・トランザクション認証・IPアドレス制限などの対策が推奨されます。

【出典】参考URL

https://www.ipa.go.jp/security/anshin/attention/2014/mgdayori20141126.html ：IPAのMITB攻撃（インターネットバンキング不正送金）への注意喚起
https://www.npa.go.jp/publications/statistics/cybersecurity/data/ ：警察庁のサイバー犯罪統計
https://owasp.org/www-community/attacks/Man-in-the-browser_attack ：OWASPのMITB攻撃の解説