サイバー犯罪者がMicrosoft 365ユーザーを標的とした巧妙なフィッシングキャンペーンを展開しています。この攻撃では、Browser-in-the-Browser(BitB)攻撃と呼ばれる高度な手法を駆使して、企業の機密データを窃取します。
クラウドベースの業務環境が多くの企業の基盤となっている現代では、Microsoftアカウントが1つでも侵害されれば、攻撃者は組織のネットワーク全体への入口を手に入れることになります。
Browser-in-the-Browser攻撃がサイバー犯罪者の間で急速に広まっているのは、従来のフィッシング対策の視覚的な手がかりを巧みにすり抜けられるからです。
セキュリティの専門家たちは長年にわたり、パスワードを入力する前にWebアドレスを確認し、鍵マーク(セキュアパドロック)を確かめるようにとユーザーへの啓発を続けてきました。
しかし今回の脅威は、アドレスバーを偽装することでこうした教育をまったく無意味なものにし、ユーザーを騙して貴重なログイン認証情報を詐取します。
この攻撃の核心は、現在表示中のWebページの上に偽のインタラクティブなウィンドウを重ねて表示することにあります。被害者が侵害されたWebサイトにアクセスすると、悪意あるコードが人工的なオーバーレイを表示します。
慣れていないユーザーの目には、このオーバーレイはMicrosoftアカウント認証時によく表示される標準的なシングルサインオン(SSO)のポップアップウィンドウとまったく区別がつきません。
このキャンペーンが特に危険なのは、OSとブラウザのフィンガープリンティングを活用している点です。偽のログインプロンプトを表示する前に、スクリプトは被害者が使用しているハードウェアとソフトウェアを正確に把握します。
たとえばユーザーがGoogle Chromeを使用しているWindowsマシンを利用している場合、ポップアップはWindows上のChromeブラウザの枠・ボタン・スクロールバーを完璧に再現します。
SafariでアクセスしているMacユーザーであれば、ポップアップは瞬時にAppleのインターフェースに合わせて切り替わります。さらに錯覚を完全なものにするため、ユーザーはこの偽ウィンドウを画面上でドラッグして動かすことさえできます。
このように精巧に作り込まれたオーバーレイの内部に、攻撃者は偽のOAuth URLを表示します。
偽のアドレスバーは本物のブラウザではなく、単純なHTMLとCSSで構築されているため、攻撃者は偽の鍵マークや正規に見えるMicrosoftドメインを自由に表示できます。
この見慣れたプロンプトからログインしようとしたユーザーは、気づかないまま自分のパスワードを攻撃者のサーバーに送信してしまいます。
Unit42の調査によると、このキャンペーンは悪意あるコンテンツを実際の人間のターゲットにのみ配信することで、セキュリティベンダーがそのドメインを危険と判定するまでの時間を引き延ばしています。
こうした高度な脅威から組織を守るためには、ハードウェアセキュリティキーのようなフィッシング耐性を持つ多要素認証(MFA)の導入を徹底することが重要です。
また、専用のパスワードマネージャーを使用することも、技術的な防御策として非常に有効です。
偽ポップアップのURLは本物のMicrosoftドメインと一致しないため、パスワードマネージャーは認証情報の自動入力を拒否し、ユーザーに危険をすぐに知らせてくれます。
翻訳元: https://cyberpress.org/microsoft-365-phishing-attack/
