Menlo Securityの調査により、サイバーセキュリティソフトウェアは組織を守るべきサイバー攻撃、とりわけブラウザレイヤーにおける攻撃を検出・防止できていないケースが多いことが明らかになりました。
6月9日に公開されたMenlo Securityの2026 Browser Threat Reportによると、企業のブラウザユーザーを狙ったフィッシング攻撃のうち5件に1件が、ネットワークとユーザーを守るはずのツールによって完全に見逃されています。
本調査は、2026年1月1日から3月31日にかけて企業顧客環境で行われた数百万件のアクティブなブラウザセッションのプラットフォームテレメトリを基にしており、脅威アクターがブラウザセッションレイヤーを経由して企業環境に侵入していることを警告しています。
同レポートによると、問題はブラウザ経由の攻撃が、多くの従来型企業向けセキュリティ製品では不審な活動を識別・防止するよう設計されていない領域を標的としている点にあります。
メール、SaaSアプリケーション、コラボレーションツール、AIアシスタント、金融システム、認証情報管理ソフトウェアといった企業活動は、現在ではアプリケーション内ではなくブラウザセッション内で行われることが一般的になっています。
しかし、多くの企業向けセキュリティ製品はこの現実を念頭に置いて設計されておらず、サイバー犯罪者に好機を与えています。Menloによると、ユーザーが実際に操作したフィッシングリンクの5件に1件が、旧来のURLフィルタリングによって完全に検出されなかったとのことです。
「ほとんどの企業が頼りにしているツールは、設計どおりに機能しています。それこそが問題なのです。どのツールもブラウザセッションレイヤーで動作するように作られていません。そして、まさにその場所こそ、攻撃者が活動の拠点として定着しているのです」と、Menlo SecurityのCEOであるBill Robbinsは述べています。
セキュリティ回避手段としてのソーシャルエンジニアリング
ブラウザベースの攻撃をめぐる主要な問題の一つは、技術的な脆弱性を悪用するだけでなく、人々がブラウザと関わる方法そのものも積極的に悪用している点です。
人々は日常的に、CAPTCHA、エラーメッセージ、Cloudflareの認証画面といったブラウザ内のアラートに対応する必要があります。攻撃者はこうした現実に合わせてソーシャルエンジニアリングの手法を進化させています。
例えば、ClickFix攻撃を展開することで、攻撃者はユーザーをセキュリティソリューションが通常監視していないツールにコードを貼り付けるよう誘導します。
たとえ監視されていたとしても、被害者自身がコマンドを実行しているため、その操作は「正規ユーザーによる正規の行為」と見なされ、「悪意ある行動」に対する技術的制御を回避してしまいます。いずれにせよ、現代のフィッシング攻撃は従来の防御策を迂回する手段を確立しています。
Menloによると、この脅威に対抗するために、組織はブラウザセッションレイヤーのセキュリティ確保に一層の注力が求められます。
「このレイヤーを管理できる企業は、自社の従業員と、すでに環境内で稼働しているAIエージェントセッションをデフォルトで保護できる立場に立てるでしょう。対応できない企業は、攻撃者がすでに過去のものとした脅威モデルに基づいて構築されたツールに頼り続けることになります」と同社は述べています。
翻訳元: https://www.infosecurity-magazine.com/news/cybersecurity-fails-to-detect/
