偽のブラウザ画面でFacebookアカウントを窃取、「Browser-in-Browser」攻撃が急増中

見た目は完璧なログイン画面、でも実は偽物——過去6ヶ月で急増している「Browser-in-Browser（BitB）」攻撃について、セキュリティ専門家が警鐘を鳴らしています。この攻撃手法は、ブラウザ内に本物そっくりの「偽ブラウザウィンドウ」を表示することで、ユーザーを騙してFacebookなどの認証情報を入力させるものです。30億人以上のアクティブユーザーを抱えるFacebookが主要なターゲットとなっており、窃取されたアカウントは詐欺や個人情報収集、なりすまし犯罪に悪用されています。

この記事のポイント
Browser-in-Browser攻撃とは何か
攻撃の具体的な流れ
正規クラウドサービスの悪用
実践してみよう
セキュリティTips
まとめ

この記事のポイント

Browser-in-Browser攻撃は偽のブラウザポップアップを表示して認証情報を盗む手法
2022年にセキュリティ研究者mr.d0xが開発した攻撃フレームワークが悪用されている
NetlifyやVercelなどの正規クラウドサービスがフィッシングページのホスティングに利用されている
二段階認証の有効化と、ポップアップウィンドウの「移動テスト」が有効な対策

Browser-in-Browser攻撃とは何か

Browser-in-Browser（BitB）攻撃は、ウェブページ内にJavaScriptとiframeを使って「偽のブラウザウィンドウ」を描画する攻撃手法です。この技術を使うと、攻撃者は任意のURLとウィンドウタイトルを持つ、本物そっくりのログインポップアップを作成できます。

従来のフィッシングサイトでは、URLバーに表示される不審なドメイン（例：faceb00k-login.com）で見破られることがありました。しかしBitB攻撃では、偽ウィンドウ内に「facebook.com」という正規URLを表示できるため、URLを確認する習慣のあるユーザーでも騙される可能性が高くなります。

この攻撃手法は2022年にセキュリティ研究者のmr.d0x氏によって公開され、当初は防御側が脅威を理解するための教育目的でした。しかし、その精巧さゆえに攻撃者にも悪用されるようになり、現在では複数の犯罪グループがFacebookユーザーを標的にキャンペーンを展開しています。

攻撃の具体的な流れ

セキュリティ企業Trellixの調査によると、BitB攻撃キャンペーンは以下の段階で実行されています。

第1段階：フィッシングメールの送信
攻撃者は、Meta社（Facebookの親会社）を装ったメールを送信します。内容は「著作権侵害の通知」「アカウント停止警告」「セキュリティ上の問題」など、ユーザーを不安にさせ、すぐに行動を起こさせるようなものです。

第2段階：短縮URLによる誘導
メール内のリンクは、bit.lyなどの短縮URLサービスを経由することで、セキュリティフィルターによる検出を回避しています。また、短縮URLは正規サービスのものであるため、ユーザーが警戒心を抱きにくいという効果もあります。

第3段階：偽CAPTCHAの表示
リンク先のページでは、まず「私はロボットではありません」のようなCAPTCHA認証が表示されます。これは攻撃の正当性を装うだけでなく、ユーザーの心理的ガードを下げる効果があります。「CAPTCHAがあるなら安全なサイトだろう」という思い込みを利用しているのです。

第4段階：BitBによる認証情報窃取
CAPTCHAを通過すると、Facebookのログインを促す「ポップアップウィンドウ」が表示されます。しかしこれは実際にはページ内にiframeで描画された偽ウィンドウであり、ここに入力された認証情報は攻撃者のサーバーに送信されます。

正規クラウドサービスの悪用

今回の調査で特に注目されているのは、攻撃者がNetlifyやVercelといった正規のクラウドプラットフォームをフィッシングページのホスティングに利用している点です。

これらのサービスは本来、開発者がウェブアプリケーションを簡単にデプロイするためのものですが、攻撃者にとっては「正規のSSL証明書が自動発行される」「ドメインの信頼性スコアが高い」「無料で利用できる」という利点があります。

セキュリティツールの多くは、既知の悪意あるドメインをブロックリストに登録して保護を行いますが、netlify.appやvercel.appのようなサブドメインは正規サービスとして信頼されているため、検出をすり抜けやすいのです。

さらに攻撃者は、「Meta Privacy Center」を模倣したページを作成し、「異議申し立てフォーム」として追加の個人情報（氏名、生年月日、電話番号など）を収集していることも判明しています。

実践してみよう

BitB攻撃を見破るための簡単なテスト方法と、セキュリティ設定を確認するコマンドを紹介します。

# Facebookの二段階認証設定を確認するためのURL
# ブラウザで以下にアクセスして設定を確認
echo "https://www.facebook.com/settings?tab=security"

# ブラウザの開発者ツールでページ構造を確認（Chrome/Firefox）
# 疑わしいポップアップが表示されたら F12 を押して Elements タブで確認
# 本物のポップアップはDOMツリーに表示されない

# Linuxでフィッシングサイトのドメイン情報を調査
whois suspicious-domain.com

# DNSレコードを確認してホスティング先を特定
dig +short suspicious-domain.com
nslookup suspicious-domain.com

# SSL証明書の情報を確認
echo | openssl s_client -connect suspicious-domain.com:443 2>/dev/null | openssl x509 -noout -issuer -subject -dates

最も簡単な見破り方は「ポップアップウィンドウをブラウザ画面の外にドラッグしてみる」ことです。本物のポップアップは画面外に移動できますが、BitB攻撃の偽ウィンドウはiframeで描画されているため、親ウィンドウの外には出られません。

セキュリティTips

ポップアップの移動テスト: 認証情報を入力する前に、ポップアップウィンドウをマウスでドラッグして画面外に動かせるか確認しましょう。動かせない場合は偽物の可能性が高いです。これはBitB攻撃の技術的制約を突いた効果的な対策です。
メール内リンクを避ける: セキュリティ警告やアカウント問題の通知が届いても、メール内のリンクはクリックしないでください。代わりに、ブラウザで新しいタブを開き、公式サイト（facebook.com）に直接アクセスしてアカウント状況を確認しましょう。
二段階認証を必ず有効化: 仮に認証情報が漏洩しても、二段階認証が有効であれば不正アクセスを防げる可能性が高まります。SMS認証よりも、認証アプリ（Google Authenticator、Authy等）やセキュリティキーの使用が推奨されます。
パスワードマネージャーを活用: パスワードマネージャーはURLを厳密に照合するため、偽サイトでは自動入力が動作しません。パスワードが自動入力されない場合は、そのサイトが偽物である可能性を疑いましょう。