btzgrp
  • ChatGPTエージェントはスプレッドシートとプレゼンテーションを作成できます
Headlines

「ブラウザ内ブラウザ」攻撃:壊滅的なフィッシング攻撃の新たな手口が登場 - TechRepublic

05 mins
「ブラウザ内ブラウザ」攻撃:壊滅的なフィッシング攻撃の新たな手口が登場 - TechRepublic
BITB フィッシング攻撃のリード画像。
画像: metamorworks、ゲッティイメージズ/iStockphoto

認証情報のフィッシングは、長年にわたり蔓延している一般的な脅威です。様々なソーシャルエンジニアリングの手法を用いて、何も知らないユーザーにリンクをクリックさせたり、ドキュメントを開かせたりすることで認証情報を提供させ、攻撃者に送信します。そして最近、「mr.d0x」として知られる侵入テスター兼セキュリティ研究者が、自身のウェブサイト上で新たなフィッシング手法を暴露しました。

BITB 攻撃とは何ですか?

ブラウザインザブラウザ攻撃は、ブラウザ内でブラウザウィンドウをシミュレートし、正規のドメインを偽装するものです。この攻撃は、ユーザーが様々なウェブサイトにログインするためにますます一般的になっているサードパーティのシングルサインオン(SSO)オプションを悪用します。その原理は非常に単純です。ユーザーがウェブサイトに接続すると、新しいブラウザウィンドウが開き、Google、Apple、Microsoftなどのサードパーティの認証情報を入力してログインします(図A)。これにより、ユーザーはウェブサイトにログインするためにパスワードを覚えたり、追加のパスワードを入力したりする必要がなくなるため、ユーザーにとってメリットがあります。

図A

ブラウザ内のブラウザフィッシング攻撃 SSO テクニック。
ウェブサイトによって開かれた SSO ウィンドウのサンプル

ここでBITB攻撃が登場します。BITB攻撃では、ユーザーに不正なポップアップウィンドウが表示され、SSOパスワードの入力を求められます。通常のフィッシング攻撃との主な違いは、ポップアップウィンドウを表示するだけでなく、正規のURLを含む任意のURLを表示できることです(図B)。

図B

BITB 詐欺ポップアップ。
BITB攻撃では、正規のURLを装った不正なポップアップウィンドウが表示されます。出典:Google

このトリックはうまくいきます。人々はこの認証モデルに慣れすぎていて、もはや意識せず、ログイン時に認証情報を入力するだけで済みます。

参照:サイバー脅威インテリジェンスソフトウェア:ビジネスに最適なCTIツールの選び方 (TechRepublic)

どのように機能しますか?

この攻撃では、通常のフィッシング攻撃と同様に、攻撃者はまずユーザーを悪意のあるページや侵害されたページにアクセスさせる必要があります。ユーザーを不正なページに誘導するために、攻撃者は通常、メールやインスタントメッセージングソフトウェアを介してリンクを送信します。そのページには、フィッシングページをホストする悪意のあるサーバーを指すiframeが含まれます。

JavaScriptコードを使用すると、リンク、ボタン、またはページ読み込み画面にポップアップページを表示できます。また、JavaScriptを使用すると、攻撃者はポップアップウィンドウに任意のURLを表示できます。

mr.d0x によると、「攻撃者が所有する Web サイトにアクセスすると、ユーザーは、正規の Web サイトのように見える (信頼できる URL にそう記載されているため) サイトに安心して認証情報を入力します。」

すでに実環境で確認されている攻撃

Googleの脅威分析グループ(TAG)は、既知の脅威アクターGhostwriterによる新たな攻撃キャンペーンを報告しました。この脅威アクターはベラルーシを拠点とし、侵害されたウェブサイトにホストされたフィッシングページを用いてBITB攻撃を展開しています。ユーザーが認証情報を入力すると、攻撃者が管理するリモートサーバーに送信されます。最近確認されたGhostwriterによるフィッシングドメインの一部は、ウクライナを標的としています。

私たちは、さらに多くの脅威アクターがこの新しい手法をすぐに採用し、攻撃キャンペーンで使用すると予想しています。

参照: 2022年のベスト暗号化ソフトウェア (TechRepublic)

推奨事項

ユーザーにSSOの使用をやめるよう求めるのは無理があるように思えます。ユーザーはSSOに慣れており、ほとんどの場合問題なく機能しています。多要素認証(MFA)を追加することはSSO認​​証のセキュリティを向上させる良い方法ですが、マルウェアなどを使った攻撃者によって回避される可能性があります。フィッシング対策のセキュリティ強化という点では、ハードウェアデバイスまたはトークンが最適なMFAソリューションです。

BITB攻撃のような特殊なケースでは、パスワードマネージャーの使用も有効かもしれません。フィッシングページは実際にはブラウザウィンドウではないため、オートコンプリート機能を備えたパスワードマネージャーは反応しない可能性があり、ユーザーはなぜオートコンプリート機能が動作しないのかと疑問に思うでしょう。

BITB攻撃を回避する最善の方法は、通常のフィッシング攻撃の場合と同じです。ユーザーは、メールやインスタントメッセージングソフトウェアを介して不明なソースから送信されたリンクや添付ファイルをクリックしないでください。一見正当な組織や同僚から送信されたメールに疑問がある場合は、電話をかけて、送信者が本当に自分であり、共有されたリンクやファイルが安全であることを確認してください。

フィッシング対策ソリューションも導入・活用する必要があります。可能であれば、ユーザーがIT部門やフィッシング対策組織に簡単に報告できるようなソリューションにする必要があります。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News