フィッシングは、攻撃者がパスワードを盗むための最も一般的かつ効果的な手段の一つとして、年々増加しています。ユーザーである私たちは、フィッシングサイトの特徴を見抜く訓練を受けているものの、そのサイトが正当なものであることを確認するために、ブラウザのアドレスバーに表示されるウェブアドレスを注意深く確認する人が多いです。
しかし、フィッシングの被害者になりそうな人に対する最後の防衛線となることが多いブラウザのフィッシング対策機能でさえ完璧ではない。
セキュリティ研究者のラファイ・バロチ氏は、AppleのSafari、Opera、Yandexなど、最も広く利用されているモバイルブラウザの一部に複数の脆弱性を発見しました。これらの脆弱性を悪用されると、攻撃者はブラウザを欺き、ユーザーが実際にアクセスしているウェブサイトとは異なるウェブアドレスを表示させることが可能です。これらのアドレスバー偽装バグにより、攻撃者はフィッシングページを正規のウェブサイトに見せかけることがはるかに容易になり、パスワードを盗もうとする者にとって絶好の条件が整います。
Riotはフィッシングについてチームに自動的に教育します
これらのバグは、脆弱なブラウザがウェブページを読み込むまでの時間における弱点を悪用することで機能します。被害者がフィッシングメールやテキストメッセージ内のリンクを開くように誘導されると、悪意のあるウェブページはページに隠されたコードを使用して、ブラウザのアドレスバーに表示される悪意のあるウェブアドレスを、攻撃者が選択した任意のウェブアドレスに置き換えます。
少なくとも 1 つのケースでは、脆弱なブラウザに緑色の南京錠アイコンが表示されたままになり、偽装された Web アドレスを持つ悪意のある Web ページが正当であるかのように表示されましたが、実際にはそうではありませんでした。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
各ブラウザメーカーに脆弱性を開示する際にバロック氏を支援したラピッド7の研究ディレクター、トッド・ビアズリー氏は、アドレスバーのなりすまし攻撃はモバイルユーザーを特に危険にさらすと述べた。
「モバイルではスペースが非常に貴重であるため、1インチのわずかな差も重要です。その結果、セキュリティシグナルや記号のためのスペースはあまりありません」とビアズリー氏はTechCrunchに語った。「デスクトップブラウザでは、現在開いているリンクを確認したり、リンクにマウスオーバーして移動先を確認したり、鍵アイコンをクリックして証明書の詳細を確認したりすることができます。こうした追加情報はモバイルには存在しないため、ロケーションバーはユーザーに現在開いているサイトを知らせるだけでなく、それを明確かつ確実に伝えることが期待されています。もしpalpay.com期待されるサイトではなく、もしサイトが表示されていたらpaypal.com、ユーザーはパスワードを入力する前に、偽サイトだと気付くでしょう。」
「このようななりすまし攻撃は、ロケーションバーを曖昧にし、攻撃者が偽のサイトに信憑性と信頼性を与えることを可能にする」と彼は述べた。
バロック氏とビアズリー氏は、ブラウザメーカーの対応はまちまちだったと述べた。
これまでのところ、9月と10月に修正プログラムをリリースしたのはAppleとYandexのみだ。Operaの広報担当者Julia Szyndzielorz氏は、Opera TouchとOpera Miniブラウザの修正プログラムは「段階的に展開中」だと述べた。
しかし、合計6億台以上のデバイスにインストールされているUCブラウザ、Boltブラウザ、RITSブラウザのメーカーは研究者に返答せず、脆弱性を修正せずに放置した。
TechCrunchは各ブラウザメーカーに連絡を取ったが、記事公開時点ではどのメーカーも声明を出さなかった。
単純なバグにより、Googleの検索結果を偽装して誤情報を拡散することが簡単に可能になる
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
