GoogleやAppleのログイン画面も疑え。ブラウザの中に潜む「偽ウィンドウ」を見破る方法（ライフハッカー・ジャパン）

フィッシング詐欺の手口が巧妙化し、もはや「怪しいサイトに行かない」だけでは身を守れない時代になりました。最近特に警戒が必要なのが、「BitB（Browser-in-the-Browser）攻撃」と呼ばれる手法です。 本物のブラウザの中に、さらに「偽のブラウザウィンドウ」を作り出すというもの。信頼しているSSO（シングルサインオン）のログイン画面を完璧に模倣するため、一見しただけではプロでも騙されてしまいます。

BitB攻撃が厄介なのは、偽サイトへ飛ばすのではなく、今開いているページの中に「偽のポップアップ」を表示させる点にあります。 ハッカーはHTMLやCSS、JavaScriptを駆使して、本物と寸分違わぬログイン画面をデザインします。アドレスバーに表示されるURLはもちろん、安全なサイトを示す「南京錠アイコン」までもが、スクリプトによって精巧に再現されているのです。 私たちが「Googleでログイン」や「Appleでサインイン」をクリックしたときに、期待通りにポップアップが出てくるため、何の疑いもなくIDとパスワードを入力してしまいます。しかし、その情報は直接、攻撃者の手に渡っているというわけです。

この攻撃は、GoogleやMicrosoftといった大手サービスだけに留まりません。 Steamユーザーを狙った事例： 人気ゲーム『Counter-Strike 2』のプレイヤーを標的に、Steamのログイン画面を偽装。 信頼性の悪用： 有名なeスポーツチームのロゴを表示するなどして、ユーザーを安心させる工夫が凝らされていた。 結局のところ、どんなログインポータルも偽装の対象になり得ます。URLが正しいからといって安心するのは、現代のネット環境ではリスクが高いと言わざるを得ません。

見た目が完璧なら、どうやって見分ければいいのでしょうか？ 答えは、そのウィンドウと「対話」してみることです。 偽物のウィンドウは、あくまでページ内に描画された「画像のようなもの」に過ぎません。以下の方法でチェックしてみてください。 ウィンドウをドラッグしてみる： 本物のポップアップなら、ブラウザの外枠を越えて自由に動かせます。もしブラウザの表示エリアから出せなかったり、動きが不自然だったりすれば、それは偽物です。 URL部分を操作する： アドレスバーのテキストを選択（ハイライト）できるか、南京錠アイコンをクリックして証明書の詳細が出るか試してください。これらが反応しない場合、それは単なる「絵」です。

ライフハッカー・ジャパン編集部