こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

中間者攻撃

SCRAM についてのRFCを見ていたら、
中間者攻撃の話が書いてありました。(ハッシュ値を総当り的に計算して辞書を作っておくなど)
通信経路の途中に割り込んで、盗聴していろいろ悪さをすること。
だと思うのですが、少し疑問が浮かびました。

それは、次の項目です。

1.中間者攻撃に使う機材はどんなものがあるのだろうか?

2.機材の値段はいくらかな?(パラボラアンテナとか、けっこう高そうです。)

3.本来の発信者から、本来の受信者までの通信経路を考えると、
  途中のサーバーの中への攻撃を、中間者攻撃と言わない理由は何かな?

4.中間者攻撃による被害で有名なものは何かな?

5.サーバーへの攻撃によるデータ流出の話題が時々出ますが、
  中間者攻撃による被害の話題は聞いたことが無いが、実際は、かなり多いのかな?

以上、お暇なときにでも、教えていただければ幸いです。
よろしくお願いします。

投稿日時 - 2015-01-22 23:50:09

QNo.8900768

暇なときに回答ください

質問者が選んだベストアンサー

メール関連なら、つい先日以下のような報道がありました。

マイクロソフト「Outlook」、中国で中間者攻撃の被害に
http://japan.zdnet.com/article/35059198/

最大の中間者攻撃は中国の金盾なのかもしれません。

投稿日時 - 2015-01-23 10:31:22

お礼

ありがとうございます。

この攻撃はすごいですね。

この攻撃をするには、かなりの費用がかかりそうですね。
サーバーの構成や、中のデータを自由に扱えるような立場でないと
この攻撃を実現するのが難しいようにも思えます。

これは、SMTP-AUTH で、認証を厳しくしても、防げないように思えます。
それとも、SSL とか使えば、この攻撃を防げるのでしょうか?

投稿日時 - 2015-01-23 11:17:13

このQ&Aは役に立ちましたか?

8人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.3

No.2です。

> これは、SMTP-AUTH で、認証を厳しくしても、防げないように思えます。
> それとも、SSL とか使えば、この攻撃を防げるのでしょうか?

記事の内容はあまり技術的な詳しいことは書いていませんが、
「ブラウザに表示される警告の場合と異なり、ユーザーはメッセージに
実際に目を通したり、リスク要素を考えたりすることなく、メッセージの
『Continue』(続ける)ボタンをすぐにクリックしてしまう可能性が高い。」
と書いていることから、おそらくこの警告はSMTPoverSSL等でメールサーバー
にSSLで接続した時の証明書が不正だという警告ではないかと思いました。
ブラウザなら、不正証明書の警告メッセージはもっと分かりやすく出るので
接続を許可しないユーザーも多いけど、Outlookが出力する不正証明書の
警告メッセージがわかりにくくて、ユーザーもContinueを押しやすいと言う
ことなのかなと思いました。

そもそも、SMTP-AUTHもSMTPoverSSLもしょせん端末からメールサーバー
までの間の認証/暗号化の話ですから、メールサーバーから先の配送ルートで
中間者攻撃の入り込む余地はいくらでもあります。
メールこそ中間者攻撃が最もやりやすい通信方式だと思います。

これを防ぐには、S/MIME等の暗号化メールを使用して、エンドtoエンドの
暗号化をすべきという話になると思います。

投稿日時 - 2015-01-24 00:24:16

お礼

ありがとうございます。

いま、SCRAM での接続方法を調べて、実装しようとしています。

クライアントとSMTPサーバーとの接続では、たくさんの方式が提案されて、実装もされているのに、
サーバーから先の安全性については、
S/MIME、PGP 以後の進展が、ほとんど見られないと考えています。

現在の、実装は、迷惑メール対策が主たる目的で、
安全性を確保するのは、おまけに過ぎないようにも見えます、

暗号通信関連の特許では、いろいろな進展もあるので、
サーバー内を含めて、サーバーから先の安全性を確保する方向での
RFC が書かれることを希望しています。

特許が絡むから、新しい提案が難しいのかもしれませんが。。。

投稿日時 - 2015-01-24 08:47:10

-広告-

こちらにほとんどの質問の回答が記載されています。
http://ja.wikipedia.org/wiki/%E4%B8%AD%E9%96%93%E8%80%85%E6%94%BB%E6%92%83

投稿日時 - 2015-01-23 00:11:29

お礼

ありがとうございます。

読んでみましたが、
メール関連の、中間者攻撃の具体例は見つかりません。
他の資料がありましたら。また、教えてください。

よろしくお願いします。

投稿日時 - 2015-01-23 08:36:26

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-