企業活動の中心となるブラウザの盲点
現代の企業活動のほとんどはブラウザ上で行われています。SaaSアプリケーション、IDプロバイダ、管理コンソール、そしてAIツールは、データのアクセスや業務遂行の主要なインターフェースとなっています。しかし、ブラウザは依然としてほとんどのセキュリティアーキテクチャにおいて周辺的な存在です。検出と調査はエンドポイント、ネットワーク、メールに重点が置かれており、これらはブラウザの「外側」の層です。この状況が、セキュリティ上の大きな断絶を生み出しています。従業員が直面する脅威が発生した際、セキュリティチームは「ブラウザ内で実際に何が起こっているのか」という基本的な問いに答えるのに苦慮しています。このギャップこそが、現代の攻撃の新たな領域を形成しているのです。Keep Awareでは、この問題を攻撃者にとっての「安全な避難場所(safe haven)」と呼んでいます。
2026年に見られるブラウザ攻撃の手口
ブラウザのみを標的とする攻撃への対処が難しいのは、単一の技術によるものではありません。複数の攻撃タイプがすべて同じ「可視性のギャップ」に集約されるためです。2026年現在も、これらの攻撃は継続して観測されています。
一般的なブラウザベースの攻撃タイプ
- ClickFixとUI誘導型ソーシャルエンジニアリング: 2025年に最も大規模なブラウザ駆動型攻撃ベクトルの一つとされており、ユーザーは偽のブラウザメッセージやプロンプトによって、機密情報を自らコピー&ペーストしたり、提出させられたりします。ペイロードは配信されず、エクスプロイトも発生しません。単なるユーザーの正常な操作であるため、調査の痕跡はほとんど残りません。
- 悪意のある拡張機能: 一見すると正当に見える拡張機能が意図的にインストールされ、ページのコンテンツを密かに監視したり、フォーム入力を傍受したり、データを外部に流出させたりします。エンドポイントやネットワークの観点からは、すべてが正常なブラウザの動作に見えるため、後になって問題が浮上しても、拡張機能が実際に行ったことの記録はほとんどありません。
- Man-in-the-Browser(およびAitB、BitBなど)攻撃: これらの攻撃は、システムを悪用するのではなく、有効なブラウザセッションを悪用します。認証情報は正しく入力され、MFAも承認され、アクティビティは正当に見えます。ログは実際のユーザーと実際のセッションを確認しますが、ブラウザのやり取りが操作されたり、リプレイされたりしたかどうかは判断できません。
- HTMLスミッシング: 悪意のあるコンテンツがJavaScriptを使用してブラウザ内で直接組み立てられるため、従来のダウンロードおよび検査ポイントを迂回します。ブラウザはコンテンツを期待通りにレンダリングしますが、最も重要なステップはセキュリティイベントとして認識されません。
EDR、メールセキュリティ、SASEがこれらの攻撃を見逃す理由
これはツールの失敗でもチームの失敗でもありません。これらのシステムが「何を見るように設計されたか」、そして「何を見ないように設計されたか」の結果です。EDRはエンドポイント上のプロセス、ファイル、メモリに焦点を当てます。メールセキュリティは配信、リンク、添付ファイルを追跡します。SASEとプロキシ技術は、ネットワークを通過するトラフィックにポリシーを適用します。それぞれが既知の悪意ある活動をブロックできますが、ブラウザ内部でのユーザーのインタラクション自体を理解するようには作られていません。ブラウザが実行環境となり、ユーザーがクリックし、ペーストし、アップロードし、認証する場所となるとき、予防と検出の両方がコンテキストを失います。アクションは許可または拒否されるかもしれませんが、実際に何が起こったのかを可視化できなければ、制御は鈍くなり、調査は不完全なものになります。
『Own the Browser』調査が明らかにする実態
このギャップは、特定のブラウザや展開モデルに限定されるものではありません。「Own the Browser」という、ベンダーに依存しない調査では、20以上の主流、企業向け、AIネイティブブラウザを評価し、実際にブラウザがどのように保護・管理されているかを検証しました。そこで際立ったのは、制御が不足しているのではなく、それらの制御が学習できる観測可能な行動の不足でした。消費者向け、企業向け、新興のAIネイティブブラウザ全体で、ポリシーは広く展開されています。しかし、実際にユーザーの行動にどう反映されているかという構造化された可視性が欠けているのです。この洞察がなければ、予防策は鈍いままであり、ポリシーは進化することも改善することもほとんどありません。
AIツールとAIネイティブブラウザが問題を深刻化
AIは、ブラウザベースのデータ移動の量と巧妙さの両方を増加させることで、この問題を加速させています。ChatGPT、Claude、Geminiといったツールは、機密情報をブラウザで直接コピー、ペースト、アップロード、要約することを「通常のこと」としています。AIネイティブブラウザ、組み込みアシスタント、拡張機能は、これらのアクションをさらに効率化します。制御の観点から見ると、この活動の多くは正当に見えます。予防の観点からは、コンテキストなしではリスクを評価することが困難です。ポリシーはアクションを許可またはブロックできますが、データがどのように使用されているかについて可視性がなければ、チームは現実に対応するために制御を適応させることができません。AI駆動のワークフローが日常的になるにつれて、ブラウザレベルの行動に基づいていない予防策はすぐに時代遅れになります。
ブラウザレベルの可視性がもたらす変化
ブラウザのアクティビティが観測可能になると、セキュリティチームは調査が向上するだけでなく、より効果的に予防できるようになります。データがブラウザ内で実際にどのように移動するかを把握することで、チームはよりスマートで的を絞った制御を設定できます。これにより、危険な行動が発生した瞬間にそれを防ぎ、問題が発生した場合に証拠を保全できます。行動がコンテキストで評価できるようになるため、検出が向上します。インシデントが再構築可能になるため、対応が向上します。実際の使用状況に基づいてポリシーが形成されるため、ポリシーが改善されます。これは、観測可能性が予防策を形成し、予防策がリスクを低減し、ブロックされた、一時停止された、または許可されたすべてのインシデントが時間とともにポリシーを洗練させるというフィードバックループを生み出します。
貴社のセキュリティは、この新たな脅威に対応できていますか?
このブラウザ攻撃の新たな脅威が貴社の環境で今日発生した場合、それを防ぎ、説明することができますか?もしできないのであれば、それこそがKeep Awareが解消するために作られたギャップです。ブラウザレベルの可視性が予防と対応にもたらすものをご覧ください。デモをリクエストする →