テクノロジー
ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング

テクノロジーカテゴリーの変更を依頼記事元:

xtech.nikkei.com

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

235usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング

235 users

xtech.nikkei.com

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント39件

注目コメント
新着コメント

rnaブラウザのパスワードマネージャーに任せる(ドメイン違えばパスワード自動入力されない)のが一番だと思うけどメディアはその話しないのなんでだろ。ブラウザの脆弱性でブッコ抜きとかなったら叩かれるから？

secu

2022/04/20リンク

その他

theatricalそもそもurl確認は、類似文字の使用などによって確認が困難なのでbad practice だと思う。/chromeで実現できると思えない人は、自分で試せば思うじゃなくて確認できると思うぞ。https://github.com/mrd0x/BITB

2022/04/20リンク

その他

hiroshe画面がIEなのか気になって内容が入ってこない。

2022/04/20リンク

その他

sekiryoこんにちはこんにちは‼︎hamachiya2のぼくはまちちゃん事件忘れてねぇからな…

2022/04/20リンク

その他

n314試してみると明らかに挙動に違和感がある。いつもブラウザを画面の6割ぐらいで使ってるから、ポップアップが中に収まるとかなりのJSダイアログ感。でも親とかが気付けるかって言ったら無理な気もする。

セキュリティ

2022/04/20リンク

その他

vbwmleSSOで別ウィンドウ出すのは良くないよね

2022/04/20リンク

その他

pqwパスワードなんて記憶してないからSafariかChromeから自動入力されないとそもそも手入力できないなあ

2022/04/20リンク

その他

heguro最近よく見るDiscordを乗っ取られてスパムリンクばら撒くやつのリンク先がこれだったことがある。ブラウザを全画面で使ってるとかなりそれっぽく見える。巧妙https://fedibird.com/@dk_k/107583881603554397

2022/04/20リンク

その他

diveintounlimit読んだけど結局URLがおかしいか確認すれば良いってことになってない？

2022/04/20リンク

その他

bean_hero「この記事は会員登録で続きをご覧いただけます。次ページでログインまたはお申し込みください」を偽装した偽サイトが出てきたらどのくらい引っ掛かるのだろう

セキュリティ

2022/04/20リンク

その他

daruyanagi“Browser In The Browser（BITB）攻撃”

2022/04/21リンク

その他

secseekよう考えますね。JavaScriptでウインドウを全部描いてるわけですか

2022/04/21リンク

その他

deep_one「Webページのコンテンツの一部として、ログイン画面に見せかけたウインドウを表示する」そもそもウィンドウは開いてないのか。そこの部分が読みにくい。

2022/04/21リンク

その他

nakamura-kenichiまあもう日本の場合はIT後進国過ぎて色々無理やからなｗ。欺されるやつが今まで何も学んでこなかったやつで、デジタルデバイス全部捨てるか法律に任せて欺されるリスク前提にするしかないやでｗ。

2022/04/21リンク

その他

セキュリティ

2022/04/20リンク

その他

rryuポップアップウインドウで既存サービスのログイン画面を開いているような絵をブラウザで描くのでURLを偽装し放題ということらしい。

セキュリティ

2022/04/20リンク

その他

Great_Pizzaこうなると2段階認証必須かな。面倒だけど仕方ない。

2022/04/20リンク

その他

sugawara1991大昔BASICでプロンプトを偽装して何を入れてもエラーで返すイタズラとか作ったなあ。まあSTOPやらBREAKすれば破れるわけだけど

2022/04/20リンク

その他

2022/04/20リンク

その他

sumyun34“偽装してユーザーをだまそうとする手口は以前からたびたび出現している。例えば2004年には、ポップアップウインドウでつくった偽のアドレスバーを、本物のアドレスバーに重ねる手口が”

2022/04/20リンク

その他

セキュリティ

2022/04/20リンク

その他

tettekete37564イマイチどういう手口が良く分からないな。ブラウザウィンドウの外に移動できないって事は HTML/CSS で作られたウィンドウもどきって事？公式サイトで？

2022/04/20リンク

その他

pwatermarkブックマークとかの信頼できる情報を元にして、入口を間違えないのが一番人からもらったURLやリンクは全て詐欺だと思って無視するのがベスト

2022/04/20リンク

その他

TakamoriTarouうわー。こんなんどうやって注意喚起すりゃいいんだよおい

2022/04/20リンク

その他

ya--mada🤔目grepでURL指差し確認してパスワード入力してる組織でもあるのかな？

2022/04/20リンク

その他

chimerastあー、なるほど、賢いなあ。MFA認証も余裕で突破できるし、自分はできると思っている人ほどひっかかりやすそう。リテラシー低いユーザは逆にSSO使わなさそうだし。

2022/04/20リンク

その他

ton-booid:theatrical 氏の指摘に賛同（IDNめ……）。id:rna 氏の対策もいいな。あとは今回の件だけなら、ブラウザUIに「ローカルにしかなくjsでも取れない情報」を表示するブラウザでもあれば多少は対策になるかもだが……？

2022/04/20リンク

その他

moerrariフィッシング詐欺の新たな手口。ソーシャルログイン画面を偽装するものでポップアップ画面のURLが偽装されるため従来のセオリーが通用しない。ポップアップをブラウザ画面の外に移動できるかどうかで見分けるとのこと

セキュリティ

2022/04/20リンク

その他

pqwパスワードなんて記憶してないからSafariかChromeから自動入力されないとそもそも手入力できないなあ

2022/04/20リンク

その他

hiroshe画面がIEなのか気になって内容が入ってこない。

2022/04/20リンク

その他

vbwmleSSOで別ウィンドウ出すのは良くないよね

2022/04/20リンク

その他

ogawat1968“今回の新手口においても…偽サイトに誘導する必要がある。このため「メールやWebサイトのリンクから誘導されたWebサイトでは、個人情報を安易に入力しない」という従来の対策は有効だ。”

2022/04/20リンク

その他

diveintounlimit読んだけど結局URLがおかしいか確認すれば良いってことになってない？

2022/04/20リンク

その他

xll普段からUA偽装しているのだが、それで対策になったりしないだろうか。

2022/04/20リンク

その他

shepherdspurse怖い

2022/04/20リンク

その他

htnmikiポップアップウィンドウであるべきケースってあるんだろうか

2022/04/20リンク

その他

hatestブラウザーの中に偽ポップアップ画面作るのって昔からよくある手口だよね

2022/04/20リンク

その他

hogegeブラウザーのパスワードマネージャーが再訪時に限っては今のところ一番安全だと思ってる。が、接してきた企業では『パスワードの保存はしちゃダメ』ってセキュリティーポリシーあるところが感覚で80%くらいある:-(

2022/04/20リンク

その他

verda悪いことする人の方が色々考えてて感心する

2022/04/20リンク

その他

miki3kOAuthなどで、Googleなどのログイン画面を表示させるとき、それに見せかけたウィンドウを出すみたいな手口なのか

2022/04/20リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「ブラウザーの中に...」が注目されています。

気持ちをシェアしよう

ツイートする

ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング

だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため...だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ（Webブラウザーウインドウ）である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser（BITB）攻撃と名付けられた。 BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組