2025年5月、SquareXのセキュリティリサーチチームが、Safariブラウザに特有の挙動を悪用した「Fullscreen Browser-in-the-Middle(BitM)」攻撃に関する調査結果を公表しました。この攻撃により、攻撃者はユーザーに気づかれずに資格情報や機密情報を盗み取ることが可能になります。
BitM攻撃とは?
BitM(Browser-in-the-Middle)攻撃は、攻撃者が被害者のブラウザを通じてリモートデスクトップ接続を確立し、偽装されたWebサイトに被害者を誘導する攻撃手法です。ユーザーはあたかも正規のWebサイトにアクセスしているかのように錯覚し、自身の資格情報を入力してしまうことがあります。
Fullscreen APIの悪用
Fullscreen APIは、特定のHTML要素を全画面表示にするための機能です。
Safariを含む主要ブラウザでは、ユーザーが何らかの操作を行うことでAPIが起動します。攻撃者はこの仕組みを利用し、「ログイン」などのラベルが付いた偽のボタンにクリックを誘導し、その直後に攻撃用のBitMウィンドウを全画面表示させます。
ChromeやFirefoxでは、全画面モードに切り替わる際に短時間の警告表示がありますが、Safariでは明確な警告表示が存在せず、スワイプアニメーションのみで切り替わるため、ユーザーが不正を察知するのが非常に困難です。
攻撃の流れ
- 攻撃者は偽のプロモーション広告やフィッシングリンクを用いてユーザーを誘導。
- 偽のログイン画面でクリックを誘導し、Fullscreen BitMウィンドウを起動。
- ユーザーは正規のサイトと誤認し、資格情報を入力。
- 入力された情報は攻撃者のリモートブラウザで取得・保存され、被害者はその後も不正に操作される環境で業務を継続してしまう。
Safariが特に脆弱な理由
SafariではFullscreen API使用時に明確な通知がなく、視覚的な変化が小さいため、ユーザーは騙されやすくなっています。これにより、攻撃者は違和感なく画面全体を乗っ取り、BitM攻撃を実行できます。
従来のセキュリティ対策では検出困難
この攻撃はEDRやSASE(Secure Access Service Edge)といった従来のセキュリティソリューションでは検出が困難です。攻撃が既知のクラウドサービス(例:AWSやVercel)上で展開されることで、企業のホワイトリストをすり抜けることも可能です。
SquareXによる防御策
SquareXは「Browser Detection and Response(BDR)」という新たなセキュリティソリューションを提供しています。これはブラウザ拡張機能として動作し、以下の機能を備えています:
- DOM変更やAPIの使用をリアルタイムで監視
- 悪意あるファイル、拡張機能、クリップボード操作の検出
- ファイル分離、ブラウザ分離、CDRによる即時緩和
- 企業全体での攻撃の可視化と脅威ハンティング
このBDRソリューションはChrome、Edge、Firefox、Safariなど主要ブラウザに対応しており、BYOD環境でも展開可能です。
Fullscreen BitM攻撃は、ブラウザAPIの仕様そのものを悪用する高度な攻撃手法であり、従来のフィッシングとは一線を画しています。特にSafariユーザーは、可視的な警告がないことから注意が必要です。今後は、ブラウザ自体の設計にセキュリティ視点を組み込む必要があると同時に、ユーザー側でも高度な攻撃に備える体制が求められます。
参照
https://labs.sqrx.com/fullscreen-bitm-f2634a91e6a5
関連記事
中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説
Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)
Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ
ランサムウェアとサイバー攻撃に潜む EDR 回避ツール「EDRKillShifter」の脅威
岸田文雄前首相の写真を無断使用した広告がスマートニュースに掲載されていた
中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む
NET MAUI を使用して検出を回避する新しいAndroidマルウェアキャンペーンが確認される
6000以上のワードプレスがサイバー攻撃とハッキングの被害
偽のGoogle MeetページでPowerShellを実行させマルウェアを実行させるサイバー攻撃のキャンペーン
