あるセキュリティー研究者は2022年3月中旬、新しいフィッシング詐欺の手口を発表した▼。
フィッシング詐欺とは、個人情報を偽サイトに入力させて盗むネット詐欺である(図1)。メールなどを使って本物そっくりの偽サイトに誘導。ログイン画面などを表示してパスワードを入力させて盗む。
Webページのデザインや画像は本物のWebサイトからコピーできるので、本物そっくりに作れる。だがURL▼(ドメイン名)は本物と同じにはできない。このためフィッシング詐欺対策としては、Webブラウザーのアドレスバーに表示されているURLを確認するのが最も有効だ。
ところが、今回発表された手口ではこの対策が通用しない。ログイン画面のアドレスバーには正規サイトのURLが表示されているのに、入力した情報を盗まれてしまうという。鍵は、Webブラウザーの中に「偽のWebブラウザー」を表示すること。一体、どんな手口なのだろうか。
ターゲットはソーシャルログイン
「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)を悪用するフィッシングである。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。
BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組み。既に持っているApple IDやGoogleアカウント、Facebookアカウントなどでログインできるので、新たにアカウントを作る必要がない。
ソーシャルログインでは、利用したいアカウントを選択するとログイン画面がポップアップウインドウとして表示される(図2)。
ログイン画面に入力されたIDやパスワードを認証するのは、そのアカウントを発行した企業である。そのためログイン画面のアドレスバーには、AppleやGoogle、FacebookなどのURLが表示される。
