ウェブブラウザ上でユーザーを標的とする攻撃は、近年かつてないほど増加しています。本記事では、「ブラウザベース攻撃」とは何か、そしてなぜこれらが非常に効果的なのかを探ります。
ブラウザベース攻撃とは?#
まず、ブラウザベース攻撃とは何かを明確にすることが重要です。
多くの場合、攻撃者は自分たちがあなたのウェブブラウザを攻撃しているとは考えていません。彼らの最終目標は、あなたのビジネスアプリやデータを侵害することです。つまり、現在のビジネスITの基盤となっているサードパーティサービスを狙っているのです。
今日最も一般的な攻撃経路は、攻撃者がサードパーティサービスにログインし、データを抜き取り、それを恐喝などで金銭化するというものです。昨年のSnowflakeの顧客情報流出や、現在も続くSalesforceへの攻撃を見れば、その影響は明らかです。
これを実現する最も論理的な方法は、これらアプリのユーザーを標的にすることです。そして、働き方の変化により、ユーザーはこれまで以上に外部攻撃者からアクセスしやすくなり、より幅広い攻撃手法にさらされています。
 |
| AITMフィッシング、ClickFix、コンセントフィッシングなどのブラウザベース攻撃は、近年かつてないほど増加しています。 |
かつては、メールが外部との主なコミュニケーション手段であり、作業はローカル(自分のデバイスや閉じられたネットワーク内)で行われていました。このため、セキュリティの観点からはメールやエンドポイントが最優先でした。
しかし今や、現代の業務は分散したインターネットアプリ上で行われ、メール以外にも多様なコミュニケーションチャネルが存在します。そのため、ユーザーが悪意あるコンテンツと接触するのを防ぐのが難しくなっています(少なくとも、業務効率を大きく損なうことなく防ぐのは困難です)。
ビジネスアプリがブラウザで利用・操作される以上、攻撃もそこで発生するのは当然の流れです。
セキュリティチームが知っておくべき6つの主要なブラウザベース攻撃#
1. 資格情報・セッションのフィッシング#
攻撃者がビジネスアプリケーションを侵害する最も直接的な方法は、そのアプリのユーザーをフィッシングすることです。フィッシングをブラウザベース攻撃と考えないかもしれませんが、今日ではまさにそれが現実です。
フィッシングのツールやインフラは過去10年で大きく進化し、ビジネスITの変化により、フィッシング攻撃の配信経路や標的となるアプリ・IDも大幅に増えています。
攻撃者は、インスタントメッセンジャーアプリ、ソーシャルメディア、SMS、悪意ある広告、アプリ内メッセンジャー機能などを通じてリンクを配信でき、SaaSサービスから直接メールを送信してメールベースのチェックを回避することもあります。同様に、企業ごとに数百ものアプリが標的となり、アカウントセキュリティ設定もさまざまです。
 |
| フィッシングは今やマルチチャネル・クロスチャネルで行われ、柔軟なAiTMツールキットを使い、幅広いクラウドやSaaSアプリを標的にしています——しかし、最終的にはすべてブラウザに行き着きます。 |
現在、フィッシングは産業規模で行われており、難読化や検知回避の技術が駆使されています。最新世代のMFAバイパス型フィッシングキットは、ウェブページを読み込むコードを動的に難読化し、カスタムのボット対策(例:CAPTCHAやCloudflare Turnstile)を実装し、ランタイムでの解析回避機能を持ち、正規のSaaSやクラウドサービスを利用してフィッシングリンクをホスト・配信し、痕跡を隠します。現代のフィッシング攻撃がどのように検知制御を回避しているか、詳しくはこちらをご覧ください。
これらの変化により、フィッシングはかつてないほど効果的になり、メールやネットワークベースのアンチフィッシングツールでの検知・ブロックがますます困難になっています。
2. 悪意あるコピー&ペースト(ClickFix、FileFixなど)#
過去1年で最も注目されたセキュリティトレンドのひとつが、ClickFixとして知られる攻撃手法の登場です。
もともと「偽CAPTCHA」として知られていたこれらの攻撃は、ユーザーにブラウザ上で何らかの認証チャレンジを解かせることで、実際にはデバイス上で悪意あるコマンドを実行させようとします。
実際には、チャレンジを解くことで、被害者はページのクリップボードから悪意あるコードをコピーし、それを自分のデバイスで実行しています。典型的には、被害者にクリックやコピー、ペースト、Windowsの「ファイル名を指定して実行」やターミナル、PowerShellでコマンドを実行するよう指示します。FileFixのような亜種も登場しており、こちらはファイルエクスプローラーのアドレスバーを使ってOSコマンドを実行します。最近では、macOSターミナルを使ったMac向けの攻撃も見られます。
これらの攻撃は、情報窃取型マルウェアを配布するために最もよく使われており、盗まれたセッションクッキーや資格情報を使ってビジネスアプリやサービスへアクセスします。
現代の資格情報・セッションフィッシングと同様、悪意あるページへのリンクはさまざまな配信チャネルや手口で拡散されます。たとえば、CAPTCHAやCloudflare Turnstileのなりすまし、ウェブページの読み込みエラーのシミュレーションなどです。フィッシングページの難読化や解析回避のための防御策はClickFixページにも適用されており、検知・ブロックは同様に困難です。
 |
| 実際に攻撃者が使用したClickFixの誘導例。 |
3. 悪意あるOAuth連携#
悪意あるOAuth連携は、攻撃者がユーザーをだまして、攻撃者が管理する悪意あるアプリへの連携を許可させることでアプリを侵害するもう一つの手法です。これはコンセントフィッシングとも呼ばれます。
 |
| 攻撃者が被害者をだまして、リスクの高い権限を持つ攻撃者管理アプリを許可させるコンセントフィッシングの例。 |
これは、通常のログインプロセスを回避してアカウントを乗っ取ることで、強化された認証やアクセス制御をバイパスする効果的な方法です。パスキーなどのフィッシング耐性MFA方式も含まれます。なぜなら、標準のログインプロセスが適用されないからです。
この攻撃の亜種が、最近のSalesforce侵害で話題となっています。このケースでは、攻撃者が被害者をだまして、Salesforceのデバイスコード認証フローを使い、攻撃者管理のOAuthアプリを許可させました。これは、ユーザーがパスワードやMFA要素の代わりに8桁のコードを入力する必要があります。
 |
| 現在も続くSalesforce攻撃では、悪意あるOAuthアプリが被害者のSalesforceテナントへのアクセス権を得ています。 |
悪意あるOAuth許可を防ぐには、アプリ内でのユーザー権限やテナントセキュリティ設定の厳格な管理が必要です。これは、現代の企業で利用されている数百のアプリの多くがITやセキュリティチームによって一元管理されていなかったり、場合によっては全く把握されていなかったりすることを考えると、決して簡単なことではありません。しかも、利用できる制御はアプリベンダーが提供するものに限られます。
この件について、Salesforceはこれらの攻撃を受けてOAuthアプリの認可に関するセキュリティ強化を発表しましたが、今後も攻撃者が悪用できる不適切な設定のアプリは多数存在します。
4. 悪意あるブラウザ拡張機能#
悪意あるブラウザ拡張機能も、攻撃者がビジネスアプリを侵害する手段の一つです。ログイン時の情報を観察・取得したり、ブラウザのキャッシュやパスワードマネージャーに保存されたセッションクッキーや資格情報を抜き取ったりします。
攻撃者は自作の悪意ある拡張機能を作成してユーザーにインストールさせるか、既存の拡張機能を乗っ取って、すでにインストールされているブラウザにアクセスします。攻撃者が既存の拡張機能を買収し、悪意あるアップデートを追加するのは驚くほど簡単です。しかも、拡張機能ストアのセキュリティチェックも簡単にすり抜けます。
2024年12月にCyberhaven拡張機能がハッキングされ、他にも少なくとも35の拡張機能が被害を受けて以来、拡張機能を利用した侵害のニュースが増加しています。それ以降、数百の悪意ある拡張機能が確認され、数百万回インストールされています。
一般的に、従業員はセキュリティチームの事前承認なしにブラウザ拡張機能をインストールすべきではありません。しかし現実には、多くの組織が従業員が使用している拡張機能や、それによる潜在的リスクをほとんど把握していません。
5. 悪意あるファイル配布#
悪意あるファイルは、長年にわたりマルウェア配布や資格情報窃取の中心的な手段でした。メール以外のチャネル(マルバタイジングやドライブバイ攻撃など)がフィッシングやClickFixの誘導に使われるのと同様、悪意あるファイルも同様の手段で配布されます。そのため、悪意あるファイルの検知は、既知の悪質ファイルチェックやプロキシを使ったサンドボックス解析(サンドボックス対応マルウェアにはあまり役立ちません)、エンドポイントでのランタイム解析に頼ることになります。
これは、悪意ある実行ファイルが直接マルウェアをデバイスに落とす場合だけではありません。ファイルのダウンロードには、追加のリンクが含まれていて、ユーザーを悪意あるコンテンツに誘導することもあります。実際、最も一般的なダウンロードコンテンツの一つがHTMLアプリケーション(HTA)で、これはローカルのフィッシングページを生成して資格情報を密かに取得するためによく使われます。最近では、SVGファイルを武器化し、クライアントサイドで偽のログインポータルを表示する自己完結型フィッシングページとして利用する手口も増えています。
ファイルの表面的な検査だけでは悪意あるコンテンツを常に検知できなくても、ブラウザでのファイルダウンロード記録はエンドポイントベースのマルウェア対策を補完し、クライアントサイド攻撃や悪意あるウェブコンテンツへのリダイレクトを行うファイルダウンロードに対する追加の防御層となります。
6. 資格情報の窃取とMFAの隙間#
最後のこの項目は、厳密にはブラウザベース攻撃そのものではありませんが、それらの結果として生じるものです。フィッシングや情報窃取型マルウェアで資格情報が盗まれると、MFAが設定されていないアカウントの乗っ取りに利用されます。
これは最も高度な攻撃ではありませんが、非常に効果的です。昨年のSnowflakeアカウント侵害や、今年初めのJira攻撃を見れば、攻撃者が大規模に盗まれた資格情報を活用していることが分かります。
現代の企業では数百のアプリを利用しているため、必須MFAが未設定のアプリが存在する可能性は高いです。さらに、アプリがSSOで設定され、主要な企業IDと連携していても、ローカルの「ゴーストログイン」が残存し、MFAなしでパスワードを受け付け続ける場合もあります。
ログインはブラウザ上でも観察可能です。実際、従業員がどのようにログインしているか、どのアプリを使い、MFAが有効かどうかを把握する上で、これほど信頼できる情報源はありません。これにより、セキュリティチームは攻撃者に悪用される前に脆弱なログインを特定し、修正できます。
まとめ#
攻撃はますますブラウザ上で発生しています。つまり、ブラウザはこれらの攻撃を検知・対応するのに最適な場所です。しかし現時点では、ブラウザは多くのセキュリティチームにとって死角となっています。
Push Securityのブラウザベースセキュリティプラットフォームは、侵害の主因に対する包括的な検知・対応機能を提供します。Pushは、AiTMフィッシング、クレデンシャルスタッフィング、パスワードスプレー、盗まれたセッショントークンを使ったセッションハイジャックなど、ブラウザベース攻撃をブロックします。また、従業員が利用するアプリ全体で、ゴーストログイン、SSO未対応、MFA未設定、脆弱なパスワード、リスクの高いOAuth連携などの脆弱性を発見・修正し、ID攻撃面を強化できます。
Pushがどのようにブラウザ上での攻撃検知・阻止に役立つか詳しく知りたい方は、最新の製品概要をご覧いただくか、弊社チームによるライブデモをご予約ください。
翻訳元: https://thehackernews.com/2025/09/6-browser-based-attacks-security-teams.html