はじめに:Facebookアカウントを狙う新たな脅威
過去半年間、ハッカーたちはブラウザ内ブラウザ(Browser-in-the-Browser, BitB)の手法を駆使して、Facebookアカウントの認証情報を詐取するケースが著しく増加しています。このBitBフィッシング技術は、2022年にセキュリティ研究者のmr.d0x氏によって開発され、その後、FacebookやSteamなどの様々なオンラインサービスを標的とした攻撃に悪用されています。Trellixの研究者たちは、マルウェア活動を監視する中で、脅威アクターがFacebookアカウントを窃取し、詐欺行為を広めたり、個人データを収集したり、あるいはなりすまし詐欺を行ったりしていることを報告しています。
30億人を超えるアクティブユーザーを抱えるソーシャルネットワークであるFacebookは、依然として詐欺師にとって主要な標的となっています。
ブラウザ内ブラウザ(BitB)攻撃とは?
BitB攻撃では、攻撃者が管理するウェブページを訪れたユーザーに対して、偽のブラウザポップアップが表示され、そこにログインフォームが含まれています。このポップアップは、正当なプラットフォームの認証インターフェースを模倣したiframeを使用して実装されており、ウィンドウのタイトルやURLをカスタマイズできるため、欺瞞を見破ることが困難になっています。
巧妙化するフィッシング手口
Trellixによると、最近のFacebookユーザーを狙ったフィッシングキャンペーンでは、著作権侵害を主張する法律事務所や、アカウントの一時停止を警告する脅迫、あるいはMetaからの不正ログインに関するセキュリティ通知などを装っています。検出を回避し、正当性を高めるために、サイバー犯罪者は短縮URLや偽のMeta CAPTCHAページを追加しています。攻撃の最終段階では、ユーザーは偽のポップアップウィンドウにFacebookの認証情報を入力するよう促されます。
並行して、TrellixはNetlifyやVercelといった正規のクラウドプラットフォーム上にホストされている多数のフィッシングページを発見しました。これらはMetaのプライバシーセンターポータルを模倣しており、ユーザーを個人情報を収集する偽の異議申し立てフォームに誘導します。
正規サービス悪用と検知回避
これらのキャンペーンは、これまで観測されてきた標準的なFacebookフィッシングキャンペーンと比較して、著しい進化を遂げています。Trellixの報告書には、「重要な変化は、信頼されたインフラストラクチャの悪用にある。NetlifyやVercelのような正規のクラウドホスティングサービスとURL短縮サービスを利用することで、従来のセキュリティフィルターを回避し、フィッシングページに偽りの安心感を与えている」と述べられています。
「最も決定的なのは、ブラウザ内ブラウザ(BitB)技術の出現が、事態を大きくエスカレートさせている点だ。ユーザーのブラウザ内にカスタムビルドされた偽のログインポップアップウィンドウを作成することで、この方法はユーザーが慣れ親しんだ認証フローを利用し、認証情報の窃取を視覚的にほぼ不可能にしている。」
BitB攻撃から身を守るには
BitB攻撃からアカウントを保護するためには、以下の対策が推奨されます。
- ユーザーがアカウント関連のセキュリティ警告や侵害通知を受け取った際は、メール内の埋め込みリンクやボタンをクリックするのではなく、必ず別途ブラウザで公式URLにアクセスしてください。
- ログインポップアップで認証情報の入力を求められた場合、そのウィンドウがブラウザウィンドウの外に移動できるか確認してください。BitB攻撃に不可欠なiframeは、基になるウィンドウに接続されているため、外に引き出すことはできません。
- オンラインアカウントへのアクセスを保護するための一般的な推奨事項として、二段階認証(2FA)機能を有効にしてください。これは完璧ではありませんが、認証情報が侵害された場合でも、アカウント乗っ取りの試みに対して追加のセキュリティ層を提供します。