GhostFrameは、2025年9月から追跡されている新しいフィッシング・アズ・ア・サービス(PhaaS)キットで、すでに100万件以上のフィッシング攻撃に利用されています。
脅威アナリストは、これまで見たことのないツールや手法を用いた一連のフィッシング攻撃を発見しました。数か月後、彼らは100万件を超える攻撃試行が同じキットに紐づいていることを突き止めました。このキットは、iframeをステルス的に悪用することからGhostFrameと名付けられました。キットは、絶えず変化するサブドメインから読み込まれるiframeの内部に悪意ある活動を隠します。
iframeとは、ウェブページ内に埋め込まれた小さなブラウザウィンドウのことで、別サイトのコンテンツを、あなたをそのサイトへ移動させることなく読み込むことができます。埋め込みのYouTube動画やGoogleマップのようなものです。こうした埋め込み部分は通常iframeであり、一般的には無害です。
GhostFrameはこれをいくつかの方法で悪用します。被害者ごとに一意のサブドメインを動的に生成し、アクティブなセッション中であってもサブドメインを切り替えることができるため、ドメインベースの検知やブロックを損ないます。また、右クリックの無効化、一般的なキーボードショートカットのブロック、ブラウザの開発者ツールへの干渉といった、複数の解析妨害トリックも備えており、アナリストや慎重なユーザーが裏側で何が起きているかを調査しにくくします。
PhaaSキットとして、GhostFrameはページタイトルやファビコンを模倣対象のブランドに合わせて調整することで、正規サービスを装うことができます。こうした機能や検知回避テクニックは、PhaaSの開発者たちが、単にメールテンプレートを改善するだけでなく、ウェブアーキテクチャ(iframe、サブドメイン、ストリーミング機能)そのものを利用して革新を進めていることを示しています。
サインインフォームを、画像ストリーミングや大容量ファイルハンドラーのような、目立たない機能の内部に隠すのも、静的コンテンツスキャナーを回避しようとする試みです。攻撃者が、ログインボックスをページ上に直接置くのではなく、「動画プレーヤー」の中に偽のログインボックスを隠すようなイメージです。そのため、多くのセキュリティツールは、それがログインボックスであることに気づきません。そうしたツールは、ページコード内の通常のHTMLフォームやパスワードフィールドを探すように調整されていることが多く、ここでは機密情報を扱う部分が、本来は大きな画像やファイルデータストリームを処理するはずの機能の中に隠されているのです。
通常、画像ストリーミング機能や大容量ファイル機能は、大きな画像やその他の「バイナリ大容量オブジェクト(BLOB)」をブラウザに効率的に配信するための仕組みにすぎません。GhostFrameは、ログインフォームをページ上に直接配置する代わりに、それを画像データのように見せかけます。ユーザーからは、本物のMicrosoft 365のログイン画面と見分けがつきませんが、HTMLを読むだけの基本的なスキャナーからは、通常の無害な画像処理にしか見えないのです。
一般的に言えば、GhostFrameの台頭は、PhaaSがスキルの低いサイバー犯罪者に武器を与える一方で、防御側にとってのハードルを上げているというトレンドを浮き彫りにしています。最近私たちは、攻撃者の間で非常に人気の高いPhaaSキットの例として、Sneaky 2FAやLighthouseを取り上げました。
では、私たちにできることは?
パスワードマネージャーと 多要素認証(MFA) を組み合わせることで、最も高いレベルの保護が得られます。
しかし、常にあなた自身が第一の防御線であることに変わりはありません。信頼できる送信元であると確認・検証する前に、望まれていないメッセージ内のリンクをクリックしないでください。また、何が起こり得るのか、何に注意すべきかを理解するためにも、情報を常にアップデートしておくことが重要です。
そして覚えておいてください。画面に表示されているものを信じるかどうかだけの問題ではありません。多層防御によって、攻撃者はどこにも到達する前に阻止されるのです。
フィッシング攻撃に対抗するもう一つの有効なセキュリティレイヤーが、Malwarebytesの無料ブラウザ拡張機能 Browser Guardです。これはヒューリスティック手法によってフィッシング攻撃を検知・ブロックします。
