中間者攻撃(MITM)とは?盗聴・改ざんの仕組みと対策を解説
カフェのWi‑Fi、ホテルのネットワーク、会社のLAN――私たちは毎日「どこかのネットワーク」を経由して通信しています。しかし、そのネットワークを無条件に信じるのは危険です。なぜなら、あなたと相手(Webサイトやアプリ)の間に第三者が割り込み、通信を盗み見たり書き換えたりする中間者攻撃(MITM: Man-in-the-Middle)が成立するからです。
この記事では、MITMの基本から代表的な手口(ARP・DNS・SSLストリッピング等)、被害例、そして個人が今日からできる防御策を、できるだけ日本語で噛み砕いて整理します。
中間者攻撃(MITM)とは?一言でいうと「あなたの代わりに会話する攻撃」
MITMは、通信の途中に攻撃者が入り込み、
- 通信を盗聴する
- 通信を改ざんする(広告やスクリプトを混ぜる、送金先をすり替える等)
- ログイン情報やセッショントークンを奪う
といった目的を達成する攻撃です。イメージとしては、あなたが「Aさん」と話しているつもりでも、実は途中に「B(攻撃者)」がいて、Aにもあなたにも別々に返事をしている状態です。
MITMが起きやすい場所:公共Wi‑Fiだけが危険なわけではない
公共Wi‑Fiは典型的な舞台ですが、MITMはそれに限りません。
- 公共Wi‑Fi:偽アクセスポイント、同一ネットワーク内の盗聴、DNS改ざんなど
- 家庭や職場のLAN:同一セグメント内でのARPスプーフィング等(内部不正/侵入後の横展開)
- DNS周り:名前解決を偽装して偽サイトへ誘導
- HTTPS周り:古い暗号設定や設定不備を突いたダウングレード、SSLストリッピング
公共Wi‑Fiの“入り口”としての危険性は、以下の記事でも詳しく扱っています(まずここから押さえるのがおすすめです)。
MITMの代表的な手口(初心者向けに5つ)
| 手口 | 起点 | 何が起きる? | ユーザー側の対策の要点 |
|---|---|---|---|
| ARPスプーフィング | 同一LAN | 本来ルータに行く通信が攻撃者へ迂回し、盗聴・改ざんされる | 公共Wi‑Fi回避/VPN/組織側はセグメント分離や検知 |
| 偽Wi‑Fi(Evil Twin) | Wi‑Fi | 正規ネットワークに見せかけて接続させ、通信を中継・観測 | SSID確認/自動接続OFF/VPNを先に起動 |
| DNSスプーフィング | DNS | 本物のドメインに見せかけて偽サイトへ誘導(フィッシングの土台) | URL/証明書警告を見逃さない/パスキー・2FA |
| SSLストリッピング/ダウングレード | TLS/HTTPS | HTTPSをHTTPに落とす、古い暗号方式へ誘導して解読を狙う | ブラウザ更新/警告無視しない/HSTSの効くサイトを使う |
| セッションハイジャック | Cookie/Token | ログイン後のトークンを奪い、パスワード無しで乗っ取る | 2FA/端末ロック/不審なログイン通知を有効化 |
少しだけ技術の背景:なぜMITMが成立するのか
MITMが成立する本質は、古い設計のプロトコルやネットワークが「相手が本物かどうか」を強く検証しない場面があることです。代表例がARPのような、同一LAN内で“とりあえず信じる”動きが残っている仕組みです。
また、アプリ側でTLS(HTTPS)が正しく設定されていなかったり、ユーザーが証明書警告を無視したりすると、暗号化が期待通りに機能しないことがあります。
被害は「盗み見」だけではない:改ざんが本当に怖い
MITMの危険は、単なる盗聴よりも改ざんにあります。たとえば、
- 偽ログイン画面を差し込んで認証情報を奪う
- 広告やスクリプトを注入してマルウェア感染へつなげる
- 送金先アドレスをすり替える(暗号資産の世界でも深刻)
- 企業の認証フローに割り込み、アカウントを乗っ取る
といった形で、実害が一気に拡大します。
個人ができるMITM対策チェックリスト(現実的な順)
1)公共Wi‑Fiは“信用しない”をデフォルトにする
最強の対策は、そもそも危険なネットワークに乗らないことです。どうしても必要なら、テザリング(モバイル回線)を優先し、公共Wi‑Fiは最終手段にしましょう。
2)VPNを「接続してから」ではなく「接続前に」起動
公共Wi‑Fiに接続してから慌ててVPNを起動すると、最初の通信が漏れる可能性があります。基本はVPNを先にONです。
3)証明書警告を絶対に無視しない
ブラウザが「この接続は安全ではありません」と言ったら、それはMITMの可能性を含む重要なシグナルです。例外として許可しない、戻る、回線を変える――これが基本です。
4)2要素認証(できればパスキー)で“盗まれても詰まない”設計に
MITMで認証情報が奪われても、2FAやパスキーがあると被害が抑えられます。特に重要アカウント(メール、金融、SNS管理)から優先して導入しましょう。
5)VPN選びは「ログ」「脅威モデル」「メタデータ」を見る
VPNは万能ではありません。サービスによってはログ方針が曖昧だったり、メタデータ保護が弱かったりします。比較の切り口は以下の記事も参考になります。
- dVPN vs ノーログVPN:2026年版 完全比較ガイド
- NymVPN徹底解説:ミックスネット技術で実現する次世代プライバシー保護
- NymVPNはTorと何が違う?mixnetが守るメタデータとは
組織・運営者側のMITM対策:ユーザー任せにしない
MITMは個人の注意だけでは防ぎきれません。カフェやホテル、企業ネットワークなど“提供側”ができる対策もあります。もしあなたが組織側の立場なら、次のような施策が有効です。
- Wi‑Fiの正規SSIDを掲示し、偽Wi‑Fi(Evil Twin)を見つけたら周知する
- 社内ネットワークはセグメント分離し、端末同士を直接見えにくくする
- DNSの保護(改ざん検知、DoH/DoTのポリシー整備、監視)
- Web側はTLS設定を最新に保ち、HSTS等でダウングレード攻撃を起こしにくくする
ユーザー側のVPNや2FAと、提供側の設計を組み合わせるのが現実的な防御になります。
MITM対策としてのNymVPN:一般的なVPNと何が違う?
一般的なVPNは「通信内容を暗号化してトンネルにする」ことで盗聴を防ぎます。一方で、通信パターン(タイミングや通信量など)から推測されるメタデータの問題が残ることがあります。
NymVPNはmixnetの発想で、トラフィックを混ぜて解析を難しくし、メタデータ面の保護を狙う設計です。仕組みの全体像は導入手順記事も合わせてどうぞ。
FAQ:中間者攻撃(MITM)についてよくある質問
Q. HTTPSのサイトならMITMは起きませんか?
HTTPSは強い防御ですが、設定不備やユーザーの誤操作(警告無視)、DNS偽装による偽サイト誘導などがあると被害につながる可能性があります。HTTPSを過信せず、複数の対策を重ねるのが基本です。
Q. 家のWi‑FiでもMITMは起きますか?
起き得ます。たとえば同一ネットワークに侵入された後の横展開として、ARPスプーフィングが使われることがあります。ルータ更新、強いWi‑Fiパスワード、不要な端末の整理など、家庭内の衛生も重要です。