ブラウザの脅威がエンタープライズネットワーク全体に拡大

NordLayerのレポートは、ブラウザが職場における主要なインターフェースとなり、認証情報の窃取、フィッシング、マルウェア、セッションハイジャック攻撃へのリスクが高まっていると警告しています。  

この調査では、分析された504件の職場アプリケーションの100%がブラウザアクセスに対応しており、78.8%が完全にブラウザベースであることが判明しました。

レポートによると、ブラウザ関連のインシデントは現在、組織全体で広く発生しています。 

また、調査対象のITプロフェッショナルの82%が、過去12か月間にブラウザ、ウェブサイト、またはウェブアプリケーションに関連したセキュリティインシデントを経験したと回答し、53%がその影響を中程度または重大と評価しました。

「ハッカーはますます侵入するのではなく、ログインするようになっている」とレポートは述べており、盗まれた認証情報やハイジャックされたブラウザセッションを利用してエンタープライズシステムにアクセスする手法が増加していることを指摘しています。

ブラウザ脅威レポートの主なポイント

• 組織がSaaSアプリケーション、リモートワーク、BYOD環境への依存を高める中、ブラウザはエンタープライズにおける主要な攻撃対象領域となっています。
• インフォスティーラーマルウェアと盗まれたセッションCookieが、エンタープライズネットワーク全体での大規模な認証情報窃取およびセッションハイジャック攻撃を引き起こしています。
• 多くの組織は、SWGなどのブラウザに特化した保護のギャップにもかかわらず、自社のセキュリティ体制を過信したままです。
• 盗まれたブラウザセッションにより、攻撃者はパスワードやMFAを回避しながら、エンタープライズシステム内で正規ユーザーとして振る舞うことができます。 

認証情報の窃取とセッションハイジャックは依然として主要なリスク

レポートは、ブラウザに保存されたパスワード、セッションCookie、自動入力データ、認証トークンを収集するために設計されたインフォスティーラーマルウェアに重点を置いています。 

研究者は、インフォスティーラーが盗んだ情報を攻撃者管理のインフラに送信する前に、10秒未満でデータ窃取を完了することが多いと指摘しています。

NordLayerとNordStellarは2024年1月から2026年2月の間に収集された盗まれた認証情報データを分析し、インフォスティーラーキャンペーンにより毎月数千万から数億件の認証情報が盗まれていることを確認しました。 

2025年11月だけでも、研究者は約3億4,500万件の盗まれた認証情報を確認しています。

レポートはまた、ブラウザセッションCookieの大規模な窃取も確認しており、攻撃者はパスワード入力や追加の多要素認証（MFA）を必要とせず、認証済みセッションを引き継ぐことができます。 

研究者は調査期間中、毎月10億件から100億件の盗まれたセッションCookieを確認しています。

レポートによると、盗まれたセッションCookieは特に危険であり、攻撃者は正規ユーザーを装いながらメール、SaaSプラットフォーム、クラウドコンソール、内部アプリケーションにアクセスできます。 

また、多くの組織は不審なセッションアクティビティを検出したり、侵害されたセッションをリアルタイムで失効させたりできるツールを備えていません。

レポートは、インフォスティーラーマルウェアが認可されたユーザーから認証情報を収集した後、ブラウザベースの認証情報窃取が大規模な侵害シナリオにエスカレートする例として2024年のTicketmaster侵害を挙げています。

セキュリティへの自信がコントロールの導入実態を上回ることが多い

多くの組織がサイバーセキュリティ体制に自信を示している一方で、レポートはブラウザに特化したセキュリティコントロールの導入に重大なギャップがあることを指摘しています。 

調査対象のITプロフェッショナルの73%が自社はサイバー攻撃に対して十分または非常によく準備されていると回答した一方、データ損失防止（DLP）、セキュアウェブゲートウェイ（SWG）、エンドポイント検出・応答（EDR）ツールなどの重要な保護策を導入していると回答したのは53%未満でした。

レポートはまた、組織がブラウザベースのSaaSアプリケーション、私物デバイス持ち込み（BYOD）ポリシー、リモートワーク体制への依存を高めており、これらすべてが攻撃対象領域を拡大していることを指摘しています。 

調査対象組織の約60%がBYODの利用を許可しており、77%がウェブベースSaaSの中程度または広範な導入を報告しています。

研究者は、ブラウザ関連のインシデントが最も深刻だった組織には、SaaS依存度の高さ、リモートワーク、個人デバイスへの依存、広範なBYODポリシーなど、いくつかの共通点があったと指摘しています。

組織がブラウザセキュリティリスクを低減する方法

レポートは、エンタープライズワークフローがウェブベースのアプリケーションやクラウドサービスへの移行を続ける中、ブラウザに特化したセキュリティコントロールの強化を推奨しています。 

組織は、認証情報の漏洩を制限し、セッション保護を改善し、管理デバイスおよび非管理デバイス全体でブラウザアクティビティの可視性を高めることに注力すべきです。

• フィッシング耐性のあるMFA（パスキーやハードウェアセキュリティキーなど）を、メール、クラウド、財務、管理アカウントに導入する。
• 不正なブラウザ拡張機能、危険なダウンロード、既知の悪意あるウェブサイトへのアクセスをブラウザフィルタリングやセキュアウェブゲートウェイを通じて制限する。
• 専用のパスワードマネージャーを使用し、エンタープライズシステムとエンドポイント全体でブラウザによるパスワード保存を無効化する。
• エンドポイント保護、振る舞い検知、マルウェア防止機能を社用デバイスおよびBYODデバイス全体で強化する。
• クラウド環境全体で不審なセッションアクティビティ、不正なSaaSアクセス、異常な認証動作を監視する。
• ローカル管理者権限を削減し、ブラウザ、オペレーティングシステム、ビジネスアプリケーション全体で一貫したパッチ適用を維持する。
• インシデント対応計画、セッション失効、認証情報回復手順をテストし、運用上のレジリエンスを向上させる。

これらの対策を総合的に実施することで、組織はブラウザベースの攻撃リスクを低減し、認証情報窃取、フィッシング、セッションハイジャックの脅威に対するレジリエンスを強化することができます。

ブラウザセキュリティがエンタープライズにおける中核的なリスクとなる

レポートは、組織がSaaSプラットフォーム、クラウドアプリケーション、リモートワーク、BYOD環境の導入を続ける中で、エンタープライズのセキュリティリスクがますますブラウザアクティビティと結びついていることを浮き彫りにしています。 

従業員が日常的にブラウザを通じてビジネスクリティカルなシステムにアクセスするようになったため、侵害された認証情報やセッションにより、攻撃者は機密性の高い企業環境に直接アクセスできるようになります。

従来のネットワーク境界はブラウザ中心の環境では有効性が低下しており、現代のウェブベースの脅威から防御するためにアイデンティティセキュリティ、セッション監視、ブラウザレベルの保護がより重要になっています。