GhostFrame は新たに出現したフィッシングツールで、わずか 3 か月の間にすでに 100 万件以上の攻撃を支えている。これは、一見単純な HTML ファイルと隠された iframe に依存し、コンテンツをその場で差し替えながら、防御コントロールをすり抜ける仕組みだ。Barracuda の研究者が 9 月に初めてこれを特定し、12 月には、ページ内に埋め込まれた「見えないウィンドウ」を中核に設計された、本格的な次世代型 Phishing-as-a-Service(PhaaS)フレームワークであることが明らかになった。
一見すると、GhostFrame のランディングページは無害に見える。明らかなフィッシングの痕跡はなく、各訪問者ごとに一意のサブドメインを動的に生成する、やや難読化されたコードがあるだけだ。表面上は、ごく普通の HTML ファイルに過ぎない。しかしその裏側には、iframe を通じて読み込まれる、2 つ目の本当に悪意あるページへの参照が含まれている。その隠れたレイヤーにデータ収集メカニズムが配置されており、これ自体も秘匿されている――入力フォームは blob URI を用いて画像ストリーム内にラップされており、静的解析からほとんど見えなくなっている。
この設計により、攻撃者はフィッシングコンテンツを差し替えたり、地域ごとにカスタマイズしたり、外側のファイルを変更することなくインフラを更新したりできる。一次 HTML レイヤーのみを検査するセキュリティツールは、この攻撃を事実上検知できない。またフレームワークは内部キーを用いてサブドメインを検証し、本物のインフラか偶発的なリダイレクトかを判別する。検証に失敗した場合、訪問者は何事もなかったかのように無害なウェブサイトへ送られる。
GhostFrame には、解析妨害のための防御機構が多数組み込まれている。右クリックを無効化し、F12 や Enter、開発者ツールに関連するキーコンビネーションをブロックすることで、アナリストがソースコードを調査したりページを保存したりするのを防ぐ。iframe と外側のページとの間でアクティブな通信が行われており、偽コンテンツはタブタイトルを変更したり、信頼されたサービスのファビコンを装ったり、ブラウザをリダイレクトしたり、さらにはセッション中にサブドメインをローテーションさせたりして、自らの痕跡を継続的に消し去ることができる。
さらなる耐性を持たせるため、フォールバック用の iframe も組み込まれている。メインスクリプトがブロックされた場合でも、フィッシングフローはシームレスに二次的なメカニズムへ切り替わる。これに、Microsoft 365 や Google のログインページを画像ベースで複製したページ(「ダブルバッファリング」技術で更新)を組み合わせることで、偽ページは完全にインタラクティブで、非常に本物らしく見える。
GhostFrame のフィッシングメールは、金融関連の誘いから人事(HR)関連の通知まで多岐にわたる。件名には「Secure Contract & Proposal Notification(安全な契約および提案通知)」「Annual Review Reminder(年次評価リマインダー)」「Invoice Attached(請求書添付)」「Password Reset Request(パスワードリセット要求)」などがあり、不注意な従業員から即時の反応を引き出すよう綿密に設計されている。
この脅威を軽減するため、専門家はブラウザを常に最新の状態に保つこと、リンクや URL を注意深く確認するよう従業員を教育すること、そして不審な「埋め込み」ページに細心の注意を払うことを推奨している。隠れた iframe を検出できるメールおよびウェブフィルタは不可欠だ。インフラレベルでは、サードパーティによるフレーミングを制限し、iframe インジェクションの脆弱性を修正し、不審なリダイレクトやコンテンツ埋め込みパターンを監視する必要がある。
