エンドユーザーがサイバー犯罪者のコンピュータにログオンし、ブラウザを開いてユーザー名とパスワードを入力することを期待しますか?おそらくそうではないでしょう!しかし、彼らが「中間ブラウザ」(BitM)攻撃の被害に遭うと、実質的にそれが起こります。
「中間者攻撃」(MitM)と同様に、BiTMでは犯罪者が被害者のコンピュータとターゲットサービス間のデータフローを制御しようとします。これは、サレント大学の研究者フランコ・トンマシ、クリスチャン・カタラノ、イヴァン・タウリーノが国際情報セキュリティジャーナルの論文で概説しています。しかし、いくつかの重要な違いがあります。
中間者攻撃 vs 中間ブラウザ#
MitM攻撃は、被害者のブラウザと正規のターゲットサービスの間にプロキシサーバーを配置し、アプリケーション層で行われます。被害者のコンピュータに何らかのマルウェアを配置して実行する必要があります。
しかし、BiTM攻撃は異なります。被害者は自分のブラウザを使用していると思い込んでいますが、実際には透明なリモートブラウザを実行しています。
論文によれば、ユーザーが「攻撃者のコンピュータの前に座り、攻撃者のキーボードを使用している」かのようであり、攻撃者は被害者とアクセスしているサービス間のデータ交換をキャプチャ、記録、変更することができます。
BiTM攻撃の構造#
では、どのように機能するのでしょうか?典型的なBitM攻撃は3つのフェーズで行われます:
- フィッシング:被害者は、攻撃者のサーバーを指し示し、ウェブアプリケーションを認証する悪意のあるハイパーリンクをクリックするように騙されます。
- 偽ブラウザ:被害者は攻撃者のサーバーと透明なウェブブラウザに接続され、悪意のあるJavaScriptが挿入されます。攻撃はキーロガーなどのプログラムを利用して、犯罪者が被害者のデータを傍受し利用できるようにします。
- ウェブアプリケーションのターゲティング:被害者は通常のサービスをオンラインで利用しますが、透明なブラウザを使用していることに気づきません。彼らの資格情報は犯罪者に露出されています。
セッショントークン#
攻撃はセッショントークンをターゲットにすることで機能します。これにより、攻撃者は多要素認証(MFA)をも覆すことができます。ユーザーがMFAを完了すると、通常、セッショントークンがブラウザに保存されます。Googleの子会社Mandiantの研究者が指摘しているように、トークン自体が盗まれると、MFAはもはや意味を持ちません:
「このセッショントークンを盗むことは、認証されたセッションを盗むことと同等であり、敵対者はもはやMFAチャレンジを行う必要がなくなります。」これは、システムの防御をテストするレッドチームオペレーターにとっても、さらに心配なことに、実際の敵対者にとっても有用なターゲットとなります。
認証されたセッショントークンをターゲットにしたBitMフレームワークを採用することで、攻撃者は迅速なターゲティング能力の利点を享受できます。設定の必要がほとんどなく、数秒で任意のウェブサイトに到達できるからです。Mandiantは指摘しています。アプリケーションがターゲットにされた場合、正規のサイトは攻撃者が制御するブラウザを通じて提供されるため、被害者が本物のサイトとその偽のカウンターパートを区別するのは非常に困難です。
クッキーやOAuthトークンは暗号化の直前に奪取され、迅速なデータ流出により、盗まれたトークンは数秒で攻撃者のサーバーに中継されます。
緩和戦略#
これらの高度な攻撃は重大な損害を引き起こす可能性がありますが、結果を回避または緩和する方法があります。最も広いレベルでは、ユーザーはアクセスするリンクに常に細心の注意を払い、実際にリンクをクリックする前にサイトをプレビューすることが必要です。他のオプションは次のとおりです:
- 拡張機能の制御: ブラウザポリシーを通じて企業全体のホワイトリスト/ブラックリストを強制し、承認されたアクションまたはエンティティにのみシステムアクセスを許可することが理にかなっています。しかし、これは鈍いツールであり、実施に時間がかかることがあります。
- トークンの強化: スライディング有効期限を持つ短命の回転トークンを発行します。これにより、盗まれたまたは漏洩したトークンの場合に組み込みのセキュリティが提供されます。
- コンテンツセキュリティポリシー (CSP): 強力なCSPツールは開発者がアプリケーションをロックダウンし、コンテンツ注入やその他の脅威に対する脆弱性を減少させることを可能にします。
- 行動監視: 任意のブラウザレベルのテレメトリをセキュリティ情報およびイベント管理 (SIEM) ツールに送信します。異常なAPI呼び出しやトークン更新パターンに警告を発します。
- ブラウザの分離: 危険なサイトをサンドボックス化されたコンテナまたはリモートブラウジングサービスで実行します。
- 防御のテスト: ブラウザベースの脅威に対処する四半期ごとのレッドチーム演習も、ブラウザの脆弱性を特定するのに役立ちます。
新時代のパスワード#
結論は憂鬱なほど明確です:BiTM攻撃は従来のセキュリティアプローチを回避し、犯罪者がユーザー名とパスワードを傍受することを可能にします。では、これによりパスワードは無意味になるのでしょうか?
答えは断固として「いいえ」です。多要素認証(MFA)を導入することで、強力なパスワードを含め、サイバー犯罪者にとって依然として困難をもたらします。特に彼らがセッショントークンをすぐに捕捉できない場合。
攻撃者がより高度になるにつれて、基本を見落とさないようにする必要があります。パスワードはMFAの重要なコンポーネントであり、実際、多くの組織にとっては依然として第一の防御線である可能性が高いです。サイバー犯罪者がどのように攻撃しても、パスワードを保護することで彼らを挫折させましょう。
Specops Password Policyは、Active Directoryのパスワードが常に基準を満たしていることを保証します。より強力なパスワードポリシーを強制し、4億以上の漏洩パスワードを継続的にスキャンすることができます。Specops Secure Accessのような効果的なMFAと組み合わせることで、パスワードとログオンの両方のステップでエンドユーザーを保護します。MFAやパスワードセキュリティに関する支援が必要ですか?チャットでお問い合わせください。
翻訳元: https://thehackernews.com/2025/05/how-browser-in-middle-attacks-steal.html