ブラウザ・イン・ブラウザ攻撃:見えないフィッシング脅威
ブラウザ・イン・ブラウザ(BitB)攻撃は、2022年に顕著に浮上した高度なフィッシング技術の進化系です。これらの攻撃は、正規のウェブサイト内に説得力のある偽のブラウザウィンドウを作成し、ユーザーをGoogle、Microsoft、Facebookなどの信頼できるサービスに送られるように見える認証情報の入力へと誘導します。従来のフィッシングページとは異なり、BitB攻撃は被害者が疑わしいリンクをクリックしたり、明らかに偽のドメインにアクセスしたりする必要がありません。代わりに、ユーザーが信頼するように訓練されてきたシングルサインオン(SSO)認証フローを模倣する、リアルに見えるポップアップウィンドウを挿入します。 この技術は、「Googleでサインイン」または「Microsoftで続行」をクリックすると新しいブラウザウィンドウが開くOAuthおよびSSoログインフローに対するユーザーの親しみやすさを悪用します。詐欺師はHTML、CSS、JavaScriptを使用してこれらのウィンドウを正規のウェブサイト上に位置させ、https://と正しいドメイン名を表示する偽のアドレスバーを含めて再現します。サイバーセキュリティ調査企業によると、これらの攻撃は従来のフィッシングよりも3~4倍高い成功率を持っています。なぜなら、ユーザーが実行する多くのビジュアルセキュリティチェックを回避するためです。 金融機関、暗号資産プラットフォーム、およびエンタープライズSaaSアプリケーションは、BitB方法論を使用した認証情報盗難の重大なインシデントを報告しています。FBIのインターネット犯罪苦情センターは2023年の高度なフィッシング攻撃が47%増加したと指摘しており、BitB技術はビジネスメール詐欺スキームに展開され、被害者当たり平均3,000ドルの損失が発生しています。この攻撃は、侵害されたまたは悪意のあるウェブサイト上に展開でき、認証情報キャプチャの直後に偽のウィンドウが消滅して、最小限のフォレンジック証拠しか残さないため、特に危険です。
主な手口
- • 詐欺師は、侵害された正規のウェブサイトまたは一般的なサービスに関連しているように見える偽のランディングページに悪意のあるJavaScriptコードを埋め込み、ユーザーがSSoログインフローを試行するのを待ちます。
- • Google、Microsoft、Apple、またはFacebookからの認証ポップアップウィンドウの完璧なレプリカを作成します。これらはHTML、CSSを使用して作成され、偽のアドレスバー、SSLパドロックアイコン、実際のログイン体験と一致するシミュレートされたローディングアニメーションが含まれています。
- • 絶対位置指定と高いz-index値を使用して、これらの偽のウィンドウを実際のウェブページの上にオーバーレイとして配置し、埋め込まれたページ要素ではなく、本物のブラウザポップアップとして見えるようにします。
- • ユーザーのインタラクションを監視する高度な検出スクリプトを実装し、ユーザーが「サインイン」ボタンをクリックするか、認証が必要なプレミアム機能にアクセスしようとしたときに自動的に偽のログインウィンドウをトリガーします。
- • キーストロークロギングとフォーム送信インターセプションを通じてリアルタイムで入力された認証情報をキャプチャし、攻撃者が制御するサーバーにデータを即座に送信しながら、偽のローディングまたはエラーメッセージを表示します。
- • 認証情報窃取後、攻撃者は偽のウィンドウをすぐに削除し、正規のログインページにユーザーをリダイレクトして認証を完了させるか(窃取をマスク)、ユーザーに後で再度試すことを提案する一般的なエラーメッセージを表示するかのいずれかを実行します。
見分け方
- ログインポップアップウィンドウはブラウザのビューポート境界外にドラッグできず、メインページコンテンツから独立して移動できません。これは、真のブラウザウィンドウではなく、埋め込まれたHTML要素であることを示しています。
- ポップアップのアドレスバー、ウィンドウの境界、または最小化/最大化ボタンを右クリックすると、ブラウザ固有のオプションやメニューなしではなく、標準的なウェブページのコンテキストメニューが表示されます。
- ポップアップのアドレスバー内のURLはテキストを強調またはコピーしようとしても変わらず、アドレスバーをクリックしても、正規のブラウザウィンドウが許可するテキスト編集またはURL変更ができません。
- ブラウザの開発者ツール(F12)を使用すると、ポップアップウィンドウはページのDOM構造内にdiv要素またはiframe要素として存在し、独立したブラウザウィンドウプロセスではないことがわかります。
- ポップアップは特性のあるブラウザウィンドウアニメーションなしでインスタントに表示されるか、メインブラウザウィンドウのサイズ変更時でも完全に中央に留まります。これは、ページの座標系に縛られていることを示しています。
- ブラウザのウィンドウマネージャー(Windows上のAlt+Tab、Mac上のCommand+Tab)を確認すると、ポップアップのための追加ウィンドウインスタンスが表示されず、本物の別のブラウザウィンドウではないことが確認されます。
身を守る方法
- ドメインマッチング機能を備えた専用のパスワードマネージャーを常に使用してください。これらのツールは表示されるグラフィックスではなく実際のURLを検証するため、偽の埋め込みウィンドウの認証情報を自動入力することを拒否します。
- 二段階認証(2FA)またはマルチファクタ認証(MFA)をサポートするすべてのアカウントで有効にしてください。可能であれば、SMSコードではなくハードウェアキーまたは認証アプリを使用してください。これにより、認証情報が盗まれた場合でも被害を制限します。
- なじみのないウェブサイト上の「次でサインイン」ボタンをクリックする代わりに、ログインURLをブラウザのアドレスバーに直接手動で入力して、本物の認証ページを実ブラウザウィンドウで訪問していることを確認してください。
- 任意のポップアップウィンドウに認証情報を入力する前に、ウィンドウをブラウザの境界の外にドラッグしようとするか、URLバーをクリックして、それが本物のブラウザウィンドウであり、HTMLオーバーレイではないことを確認してください。
- 疑わしいJavaScript動作を検出したり、Content Security Policyの検証を実装したりして、ページが偽のウィンドウオーバーレイを作成しようとしたときに警告するブラウザ拡張機能をインストールしてください。
- 可能な場合は、なじみのないウェブサイト上のSSoログインフローの使用を避け、代わりに個別のパスワードを持つ一意のアカウントを作成して、盗まれた認証情報の価値を1つのサービスに限定してください。
実例
フリーランスのグラフィックデザイナーは、プレミアムデザインリソースを提供するとのクレームのポートフォリオウェブサイトを訪問しました。ダウンロードにアクセスするために「Googleでサインイン」をクリックすると、プロフェッショナルに見えるGoogleログインウィンドウが表示されました。彼女が認証情報を入力すると、ウィンドウはエラーメッセージを表示して消滅しました。2時間以内に、彼女のGmailアカウントは東ヨーロッパのIPアドレスからアクセスされ、攻撃者はそのメールアドレスにリンクされたPayPalと銀行口座のパスワードをリセットしようと試みました。
ITコンサルタントは、Microsoft 365アカウントのセキュリティ更新について、最近のサインイン活動を確認するためのリンク付きメールを受信しました。リンク先のページには、偽のアドレスバーに正しいmicrosoft.comのURLが表示された説得力のあるMicrosoftログインポップアップが表示されました。認証情報を入力した後、彼は正規のMicrosoftページにリダイレクトされました。3日後、彼の会社は47のクライアント連絡先レコードが流出したことを発見し、コンサルタントが侵害されたと主張する身代金要求がそれらのクライアントに送信されました。
暗号資産投資家は、有名な取引プラットフォームの有料検索結果をクリックしました。ランディングページは取引所のウェブサイトと同じように見え、Google SSoポップアップを通じてログインするよう促しました。認証情報を入力した後、ウィンドウは「接続タイムアウト」メッセージで閉じました。翌朝、投資家は自分の取引所アカウントがアクセスされたこと、および8,400ドル相当のビットコインが未知のウォレットに転送されたことを発見しました。攻撃者は盗まれたGoogle認証情報を使用して、取引所のメールベースの検証をバイパスしていました。
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), ブラウザ・イン・ブラウザ攻撃:見えないフィッシング脅威 is described at https://scamlens.org/ja/encyclopedia/browser-in-browser-attack.