あるセキュリティー研究者は2022年3月中旬、新しいフィッシング詐欺の手口を発表した。
フィッシング詐欺とは、個人情報を偽サイトに入力させて盗むネット詐欺である。フィッシング詐欺対策としては、Webブラウザーのアドレスバーに表示されているURLを見て、本物かどうかを確認するのが最も有効だ。
ところが、今回発表された手口ではこの対策が通用しない。アドレスバーには正規サイトのURLが表示されているのに、入力した情報を盗まれてしまうという。鍵は、Webブラウザーの中に「偽のWebブラウザー」を表示すること。一体、どんな手口なのだろうか。
ターゲットはソーシャルログイン
Webブラウザーのアドレスバーを偽装してユーザーをだまそうとする手口は以前からたびたび出現している。例えば2004年には、ポップアップウインドウでつくった偽のアドレスバーを、本物のアドレスバーに重ねる手口が出現した。
だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。
今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。
BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組み。既に持っているApple IDやGoogleアカウント、Facebookアカウントなどでログインできるので、新たにアカウントをつくる必要がない。
ソーシャルログインでは、利用したいアカウントを選択するとログイン画面がポップアップウインドウとして表示される。
