SSOログイン画面を偽装する「Browser-in-the-Browser」フィッシング、正規ポップアップそっくりの新手口

背景

「Googleでログイン」「Microsoftでサインイン」など、ブラウザ上のSSO（シングルサインオン）ポップアップにIDとパスワードを入力する仕組みが一般化する中、このUIをそっくり真似た「Browser-in-the-Browser（BitB）」フィッシング攻撃が登場しています。従来のフィッシングでは、ブラウザのアドレスバーをよく確認すれば偽サイトを見破れるケースもありました。しかしBitBでは、あたかも別ウィンドウが開いたかのように見える偽ポップアップを同一ページ内に描画し、ユーザーに疑念を抱かせないまま認証情報を入力させるため、「アドレスバー確認」という従来の自衛策が通用しにくくなっています。特に、SSOを通じて複数の業務アプリにアクセスできる企業環境では、一度アカウントが突破されると被害範囲が非常に広がりやすく、深刻な脅威となっています。

実態

BitB攻撃では、攻撃者はまず正規のSSOポップアップ（例：accounts.google.com、login.microsoftonline.com）の見た目をピクセル単位で模倣したHTML/CSS/JavaScriptを作成します。ウィンドウ枠、閉じるボタン、アドレスバー、錠前アイコン、パドロック表示などをCSSで再現し、あたかもブラウザが新しいウィンドウを開いたように見せかけます。ユーザーが「ログイン」ボタンを押すと、この偽ポップアップがページ中央に表示され、ID・パスワード・MFAコードの入力を求めます。入力された情報は、実際には攻撃者のサーバーに送信され、その後攻撃者が即座に正規のSSOエンドポイントへリレーする「リアルタイム中継」まで行われるケースもあります。この場合、ユーザーはログイン後に正規のサービス画面へ遷移するため、「ログインに成功した」と認識し、不正を疑いません。BitBは、通常のWebページ内で完結するため、ブラウザのアドレスバーを見ても常に「正規サイトのURL」のままであり、URLバー確認を習慣化しているユーザーであっても騙される可能性があります。攻撃は、偽広告、マルバタイジング、フィッシングメールのリンク、侵害された正規サイトを通じて行われることが多く、特定業務アプリのログイン画面を装った標的型攻撃も確認されています。

影響と対策

BitBフィッシングによりSSOアカウントが奪われると、メール、ストレージ、社内ポータル、チケット管理、CRMなど、SSO連携された多数のSaaSへ一気にアクセスされるリスクがあります。対策としては、まずユーザー教育の観点から、「ポップアップのアドレスバーを信用しすぎない」「ログイン要求が出たら、ブックマークや公式URLから自分でアクセスし直す」という行動を推奨することが重要です。技術的には、FortiGateやCheck PointのセキュアWebゲートウェイ機能で、既知のBitB攻撃用ドメインや不審なスクリプトをブロックすることが有効です。また、FIDO2などのフィッシング耐性の高い認証方式を導入し、パスワード＋OTPだけに依存しない仕組みに移行することで、認証情報窃取の効果を大幅に低減できます。さらに、IdP側（Entra ID / Azure AD、Oktaなど）でリスクベース認証を有効化し、通常と異なる端末・場所・IPからのログイン試行に対して追加認証やブロックを行うことも有効です。SSO連携アプリ側でも、管理コンソールの監査ログを活用し、不審なログインやセッション乗っ取りの兆候を監視する体制構築が求められます。

まとめ

「URLバーを確認すれば安全」という従来の常識は、BitB攻撃に対しては十分ではありません。ユーザーの視覚的な安心感を逆手に取るこの手口に対抗するには、パスワード依存からの脱却と、多層的なアクセス制御・監視が不可欠です。PSI社では、ネットワーク製品を中心としたゼロトラストな認証・アクセス基盤の構築と、BitBを含む最新フィッシング手口を踏まえたユーザー教育プログラムの整備をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp