企業が業務をブラウザへと移行し続ける中、セキュリティチームは増大するサイバー課題に直面しています。実際、現在では80%以上のセキュリティインシデントがChrome、Edge、Firefoxなどのブラウザ経由でアクセスされるウェブアプリケーションから発生しています。特に急速に進化している攻撃者グループ「Scattered Spider」は、これらのブラウザ上の機密データを標的にし、企業に甚大な被害をもたらしています。
Scattered Spider(UNC3944、Octo Tempest、Muddled Libraとも呼ばれる)は、過去2年間で人のアイデンティティとブラウザ環境を精密に標的とすることで成熟してきました。この変化は、Lazarus Group、Fancy Bear、REvilといった他の悪名高いサイバーギャングとは一線を画しています。カレンダー、認証情報、セキュリティトークンなどの機密情報がブラウザのタブ上に存在していれば、Scattered Spiderはそれらを取得することができます。
この記事では、Scattered Spiderの攻撃手法の詳細と、それを阻止する方法について解説します。全体として、これは世界中のCISO(最高情報セキュリティ責任者)に対し、組織のブラウザセキュリティを補助的な管理から防御の中核へと格上げする必要性を訴える警鐘です。
Scattered Spiderのブラウザ特化型攻撃チェーン#
Scattered Spiderは大量のフィッシングではなく、精密な搾取を選択します。これは、ユーザーが日常的に最も利用するアプリケーションへの信頼を利用し、保存された認証情報を盗み、ブラウザのランタイムを操作することで実現されます。
- ブラウザトリック:Browser-in-the-Browser(BitB)オーバーレイや自動入力情報の抽出などの手法を用い、EDR(エンドポイント検知・対応)などの従来のセキュリティツールの検知を回避しつつ認証情報を盗みます。
- セッショントークンの窃取:Scattered Spiderや他の攻撃者は、多要素認証(MFA)を回避し、ブラウザのメモリからトークンや個人用クッキーを取得します。
- 悪意のある拡張機能&JavaScriptインジェクション:偽の拡張機能を通じて悪意のあるペイロードが配信され、ドライブバイ攻撃やその他高度な手法でブラウザ内で実行されます。
- ブラウザベースの偵察:Web APIやインストール済み拡張機能の調査を利用し、攻撃者は重要な内部システムへのアクセス経路を把握します。
戦略的ブラウザ層セキュリティ:CISOのための設計図#
Scattered Spiderやその他の高度なブラウザ脅威に対抗するため、CISOは以下の領域にわたる多層的なブラウザセキュリティ戦略を活用しなければなりません。
1. ランタイムスクリプト保護で認証情報の窃取を阻止#
フィッシング攻撃は何十年も前から存在しますが、Scattered Spiderのような攻撃者は近年その手法を飛躍的に高度化させています。これらの高度なフィッシングキャンペーンは、EDRのようなセキュリティツールを回避し、ブラウザ内部で直接実行される悪意のあるJavaScriptに依存しています。これによりユーザーの認証情報や機密データが盗まれます。フィッシングオーバーレイを確実にブロックし、認証情報を盗む危険なパターンを検出するには、組織はJavaScriptランタイム保護を導入し、挙動を分析する必要があります。こうした保護を適用することで、セキュリティリーダーは攻撃者によるアクセスや認証情報の窃取を未然に防ぐことができます。
2. セッション保護によるアカウント乗っ取りの防止#
ユーザー認証情報が攻撃者の手に渡ると、Scattered Spiderのような攻撃者は迅速にクッキーやトークンを盗み、認証済みセッションを乗っ取ります。ブラウザセッションの整合性を守るには、認可されていないスクリプトによるこれら機密情報へのアクセスや持ち出しを制限することが最善策です。組織はデバイスポスチャ、本人確認、ネットワーク信頼性などの要素に基づくコンテキストセキュリティポリシーを徹底する必要があります。セッショントークンをコンテキストに紐付けることで、認証情報が漏洩した後でもアカウント乗っ取りなどの攻撃を防ぐことができます。
3. 拡張機能ガバナンスの徹底と不正スクリプトのブロック#
近年、ブラウザ拡張機能は非常に人気が高まっており、Google Chromeだけでも13万以上がChromeウェブストアで公開されています。生産性向上に役立つ一方で、攻撃経路にもなっています。悪意がある、または十分に審査されていない拡張機能は、侵襲的な権限を要求したり、悪意のあるスクリプトをブラウザに注入したり、攻撃ペイロードの配信手段となることがあります。企業は、事前承認された拡張機能のみを許可し、権限を検証する堅牢な拡張機能ガバナンスを徹底しなければなりません。同様に重要なのは、信頼できないスクリプトを実行前にブロックすることです。このアプローチにより、正当な拡張機能は利用可能なまま、ユーザーの業務フローを妨げません。
4. 正当な業務フローを損なわず偵察活動を妨害#
Scattered Spiderのような攻撃者は、しばしばブラウザ内偵察から攻撃を開始します。WebRTC、CORS、フィンガープリントなどのAPIを利用して環境をマッピングし、頻繁に利用されるアプリや特定ユーザーの行動を特定します。こうした偵察を阻止するには、組織は機密性の高いAPIを無効化するか、攻撃者に誤情報を与えるデコイに置き換える必要があります。ただし、特にBYODや管理外デバイスでは、正当な業務フローを損なわないための適応型ポリシーが必要です。
5. ブラウザテレメトリを実用的なセキュリティインテリジェンスへ統合#
ブラウザセキュリティはマルウェアを伴わない攻撃に対する最後の防衛線ですが、既存のセキュリティスタックに統合することでネットワーク全体を強化できます。ブラウザデータで強化されたアクティビティログをSIEM、SOAR、ITDRプラットフォームに実装することで、CISOはブラウザイベントとエンドポイント活動を相関させ、より包括的な状況把握が可能になります。これによりSOCチームは迅速なインシデント対応や脅威ハンティングを強化でき、アラート応答時間の短縮や組織全体のセキュリティ態勢の強化につながります。
ブラウザセキュリティのユースケースとビジネスインパクト#
ブラウザネイティブな保護を導入することで、戦略的なメリットが明確に得られます。
| ユースケース | 戦略的優位性 |
| フィッシング&攻撃防止 | ブラウザ内での認証情報窃取を実行前に阻止 |
| ウェブ拡張機能管理 | 既知・未知のウェブ拡張機能によるインストールや権限要求を制御 |
| GenAIの安全な活用 | 生成AIツールへの適応型・ポリシーベース・コンテキスト認識型アクセスを実現 |
| データ損失防止 | 企業データが不正に漏洩・共有されることを防止 |
| BYOD&契約社員のセキュリティ | セッションごとのブラウザ制御で管理外デバイスを保護 |
| ゼロトラスト強化 | 各ブラウザセッションを信頼できない境界として扱い、挙動をコンテキストで検証 |
| アプリケーション接続 | 適切な保護レベルでユーザーが正しく認証されていることを保証 |
| 安全なリモートSaaSアクセス | 追加のエージェントやVPN不要で社内SaaSアプリへの安全な接続を実現 |
セキュリティリーダーへの推奨事項#
- リスク態勢の評価:BrowserTotal™ などのツールを活用し、組織内のブラウザ脆弱性がどこに存在するかを把握しましょう。
- ブラウザ保護の有効化:リアルタイムのJavaScript保護、トークンセキュリティ、拡張機能監督、テレメトリをChrome、Edge、Firefox、Safariなど全ブラウザで実現できるソリューションを導入しましょう。
- コンテキストポリシーの定義:Web API、認証情報の取得、ウェブ拡張機能のインストール、ダウンロードに関するルールを徹底しましょう。
- 既存スタックとの統合:ブラウザ対応の脅威テレメトリを、日常的に利用しているSIEM、SOAR、EDRツールに連携し、検知・対応能力を強化しましょう。
- チーム教育:ブラウザセキュリティをゼロトラストアーキテクチャ、SaaS保護、BYODアクセスの中核原則として定着させましょう。
- 継続的なテストと検証:実際のブラウザベース攻撃をシミュレーションし、防御策の有効性や盲点を把握しましょう。
- ブラウザ間のアイデンティティアクセス強化:各セッション内で継続的にアイデンティティを検証する適応型認証を導入しましょう。
- ブラウザ拡張機能の定期監査:全ての利用拡張機能を把握するためのレビュー体制を構築しましょう。
- Web APIへの最小権限適用:
- 機密性の高いブラウザAPIは必要な業務アプリにのみ制限しましょう。
- ブラウザ脅威ハンティングの自動化:ブラウザテレメトリを活用し、既存スタックと連携して不審なパターンを検出しましょう。
まとめ:ブラウザは新たなアイデンティティ境界#
Scattered Spiderグループは、攻撃者がエンドポイントから企業で最も利用されるアプリケーション=ブラウザへと標的を進化させる様子を体現しています。彼らはアイデンティティを盗み、セッションを乗っ取り、痕跡を残さずユーザー環境内に留まります。CISOはこうしたアイデンティティベースの脅威を阻止するため、ブラウザネイティブなセキュリティ制御を活用しなければなりません。
摩擦のないランタイム認識型セキュリティプラットフォームへの投資が解決策です。受け身ではなく、セキュリティチームが攻撃の発生源で阻止できるようになります。全てのセキュリティリーダーにとって、エンタープライズブラウザ保護はScattered Spiderのような攻撃者への対策にとどまらず、企業の窓口を強化し、全てのSaaSアプリケーションやリモートワークなどのセキュリティ態勢を向上させます。
セキュアエンタープライズブラウザや、その導入メリットについて詳しく知りたい方は、Seraphicのエキスパートにご相談ください。
翻訳元: https://thehackernews.com/2025/09/when-browsers-become-attack-surface.html