パロアルトネットワークスのUnit 42によると、新たなブラウザ・イン・ザ・ブラウザ(BitB)型フィッシングキャンペーンが確認されており、正規のブラウザ認証ウィンドウに酷似した偽のログインポップアップを使ってMicrosoft 365ユーザーを標的にしています。
この攻撃は、ウェブページ内に埋め込まれた偽のブラウザウィンドウを悪用します。Microsoftのサインインボタンをクリックした被害者には、スプーフィングされたMicrosoft OAuth URLとログインフォームを備えた、本物さながらの認証プロンプトが表示されます。
偽のMicrosoftサインインプロンプトを表示するフィッシングページ(出典:パロアルトネットワークス Unit 42)
「アドレスバーに表示されるスプーフィングURLは、本物のOAuthフローに見えるよう巧妙に作り込まれている」とUnit 42は指摘しています。
このポップアップが特に説得力を持つ理由は、正規のブラウザウィンドウと同様の挙動をする点にあります。画面上でドラッグ移動が可能なうえ、戻る・更新・最小化・閉じるといった操作ボタンも備えており、ユーザーが偽ログインページを見抜く際に頼りにしがちな視覚的な手がかりが取り除かれています。
フィッシングページは被害者の環境にも適応します。研究者によると、使用中のOSとブラウザを識別し、Windows・macOS・Linuxに合わせた外観を再現するほか、Chrome・Firefox・Edge・Safariにも対応しています。
偽ログインページを本物らしく見せることは、この攻撃の一側面に過ぎません。Unit 42の調査では、このキャンペーンが検出や調査をより困難にするための追加技術を使用していることが明らかになっています。
具体的には、ブラウザのコンソール機能の上書き、単純なキーワード検査を回避するための表示テキスト文字列の分割、そしてボットや自動スキャナーと判断された場合にフィッシングコンテンツの代わりにMicrosoft Officeの正規ヘルプページへリダイレクトする手法が用いられています。
認証情報の収集機能はサンドボックス化されたiframeを通じて読み込まれており、見た目上のBitBインターフェースとは切り離されているため、解析がより困難になっています。
Unit 42はまた、このキャンペーンに関連するドメインの一覧も公開しています。
Microsoft 365ユーザーはフィッシングキャンペーンの標的になり続けています。先月にはFBIが「Kali365」について警告を発しました。これはデバイスコード型フィッシングを通じてMicrosoft 365のアクセストークン窃取やMFAバイパスを可能にする、フィッシング・アズ・ア・サービス(PhaaS)プラットフォームです。
翻訳元: https://www.helpnetsecurity.com/2026/06/10/browser-in-the-browser-phishing-microsoft-365-users/
