Source:https://thehackernews.com/2025/11/sneaky-2fa-phishing-kit-adds-bitb-pop.html
🛡 概要
Phishing-as-a-Service(PhaaS)「Sneaky 2FA」に、Browser-in-the-Browser(BitB)機能が追加され、ブラウザのアドレスバーやポップアップを装った偽ログイン画面でMicrosoftアカウントの資格情報やセッションを盗む攻撃が確認されています。BitBは研究者mr.d0xが2022年に示した手法で、HTML/CSSのみで「本物らしい」ブラウザ小窓を描画し、URL表示まで模倣して利用者を欺きます。今回の事例ではCloudflare Turnstileなどのボット対策や条件付きロードを併用し、検知や自動解析の回避、標的以外の無害サイトへのリダイレクトも行われています。
さらに、悪性ブラウザ拡張によるWebAuthn(パスキー)フローの乗っ取り実演(SquareX)や、AitM(Adversary-in-the-Middle)型キット(例:Tycoon)による「強固なパスキーを使わせず、脆弱な代替手段へ誘導する」ダウングレード攻撃も観測されています。これらは、PhaaSが継続的に洗練され、規模の小さな攻撃者でも高度なフィッシングを行える現状を示します。
🔍 技術詳細
BitBは、実ブラウザの認証ポップアップを装うため、ページ内に「アドレスバー・ウィンドウ枠・証明書錠アイコン風の装飾」をCSSで描画し、その内部に攻撃者のサーバーを指すiframe(または同等の埋め込み)を配置します。ユーザーは見かけ上「login.microsoftonline.com」等の正規URLに見える表示を信じ、資格情報を入力しますが、実際には攻撃者側のドメインに送信されます。報告では、利用者が「previewdoc[.]us」のような不審URLに誘導され、Cloudflare Turnstileによる人間判定を通過した後、「Sign in with Microsoft」ボタンを押下するとBitB偽ポップアップが開き、入力されたID/パスワードやセッション情報が攻撃者に送出され、アカウント乗っ取りに悪用されます。
このキットは解析妨害のため、難読化やブラウザ開発者ツールの無効化検知、短命なドメインの高速ローテーションを組み合わせます。さらに、アクセス元や環境を判別して標的以外には無害ページを返す「条件付きロード」により、セキュリティクローラやサンドボックスの目をすり抜けます。ボット対策(CAPTCHA/Turnstile)自体は正規機能ですが、攻撃者はそれを盾に自動収集・検査を阻むわけです。
並行して、悪性拡張機能を使った「Passkey Pwned Attack」の実演では、拡張がページ文脈へJSを注入してWebAuthnのAPI(navigator.credentials.create()/get())をフックし、正規の認証器へ到達する前に攻撃者管理の鍵ペアを生成・利用します。登録時に作った秘密鍵は端末に保存され、その複製が攻撃者にも送られるため、以後のチャレンジ署名を攻撃者側でも再現可能になります。これはFIDO2/パスキーの脆弱性ではなく、ブラウザ/拡張の権限悪用(Man-in-the-Browser)に依存した攻撃です。また、AitMキット(例:Tycoon)はログイン時に「パスキー以外の弱い方法」を選ばせるUI設計で、パスキーの導入組織でも人間側の選択を突いてフィッシング可能な経路に誘導します。
⚠ 影響
- Microsoftアカウントの不正利用(メール送信、Teams/SharePoint/OneDriveのデータ窃取、権限昇格の足掛かり)
- MFA/パスキー環境でも、セッショントークン窃取やダウングレード誘導によりアカウント乗っ取りが成立
- 悪性拡張の常駐化による継続的なセッション再利用・認証フローの乗っ取り
- 事業メール詐欺(BEC)、規制違反、インシデント対応/復旧コスト増大
本件は攻撃手口・キットの問題であり、特定のCVE/CVSSが適用される個別脆弱性の開示事例ではありません。
🛠 対策
- 認証強化(CIS Control 6 / NIST CSF PR.AC):パスキー/FIDO2や証明書ベース等のフィッシング耐性MFAを必須化し、SMS/音声/メール等の脆弱なバックアップ手段を無効化。条件付きアクセスで「準拠端末・場所・リスク」基準外をブロック。異常時はリフレッシュトークン失効と再認証を強制。
- ブラウザ拡張のガバナンス(CIS 2, 4, 9):拡張は許可リスト方式(Edge/Chromeのエンタープライズポリシー)で管理。開発者モード禁止、ストア外インストール禁止、過大権限(webRequest/activeTab/scripting等)拡張の即時隔離・削除。
- IdP/SSO設定の見直し:可能ならポップアップではなくトップレベルリダイレクトでの認証を優先。許可済みリダイレクトURIの厳格化、MFA強度ポリシーの徹底、連続アクセス評価(CAE)の有効化。
- ネットワーク/メール対策(CIS 9, 12):新規登録ドメイン/類似ドメインのブロック、カテゴリフィルタ、URL改ざん検知。メールではURL保護、サンドボックス、リンク再書換えを併用。
- アプリ側ヘッダ/CSP:frame-ancestorsやX-Frame-Optionsで正規ログイン画面の埋め込みを禁止(AitM後段の悪用余地を縮小)。
- ユーザー教育(CIS 14):BitBの見分け方(アドレスバーを右クリックするとページメニューが出る、窓がOS外観と一致しない、ドラッグできない等)を訓練。拡張インストール時のリスク喚起。
📌 SOC視点
- DNS/プロキシ:目的外TLDや類似ドメイン、短命ドメインへの初見アクセスの相関。Cloudflare Turnstile関連ドメイン(例:challenges.cloudflare.com)直後に非Microsoftドメインへ遷移し「Microsoftログイン風リソース」を取得する動線。
- IdPログ:新規デバイス・新規場所のサインイン、短時間での地理的矛盾、MFAバイパスやセッショントークン再利用の兆候。非準拠端末からのアクセス試行。
- EDR/ブラウザ管理:新規拡張の導入、権限の高い拡張の有効化、WebAuthn APIをフックするコンテンツスクリプトの挙動(navigator.credentialsのプロトタイプ改変)が観測された端末の隔離。
- インシデント対応:影響アカウントの全セッショントークン失効、パスキー/キー再登録、拡張棚卸しと不要拡張の強制削除、OAuth同意の再確認。
📈 MITRE ATT&CK
- T1566 Phishing(初期侵入):BitBページへ誘導し資格情報入力を促す。
- T1056.003 Web Portal Capture(認証情報アクセス):偽ログインでID/パスワードを収集。
- T1539 Steal Web Session Cookie(認証情報アクセス):AitMやBitBでセッション情報を窃取。
- T1176 Browser Extensions(持続化/防御回避):悪性拡張がWebAuthnをフックし認証を乗っ取る。
- T1204.001 User Execution: Malicious Link(実行):ユーザーのクリック依存のリンク実行。
- T1027 Obfuscated/Compressed Files and Information(防御回避):コード難読化や解析妨害。
- T1557 Adversary-in-the-Middle(資格情報/セッションの奪取):AitM型キットによる中間者手口。
- T1078 Valid Accounts(防御回避/横展開):窃取済みアカウントで正規アクセスを装う。
- T1621 Multi-Factor Authentication Request Generation(有効化誘導):MFA方式の選択/要求を攻撃者主導で誘導。
🏢 組織規模別助言
- 小規模(〜50名):拡張は全ブロック→必要最小の許可リストのみ。メール/URL保護をクラウド型で一元導入。主要アカウントはFIDO2鍵を配布しバックアップ認証を停止。
- 中規模(50〜500名):IdPの条件付きアクセスで準拠端末・信頼済みロケーションのみ許可。拡張の資産台帳化と自動隔離ワークフローをMDR/EDRで整備。フィッシング演習にBitBシナリオを追加。
- 大規模(500名以上):UEM/MDMでブラウザと拡張を厳格管理。MFA強度ポリシーの全面適用、CAEP/CAEの活用、DLP/SSPMと連携したセッション保護。Threat Intelligenceで短命ドメイン/キットのIOCを継続配信。
🔎 類似事例
- mr.d0xによるBrowser-in-the-Browser手法の公開(2022)
- Evilginx2、Modlishka、Muraena/Necrobrowser:AitM系セッション窃取フレームワーク
- Greatness:Microsoft 365特化のフィッシングキット
- Tycoon:パスキーを回避するダウングレード型AitMキット
- SquareX「Passkey Pwned Attack」:悪性拡張でWebAuthnをフックする実演(2025)
🧭 次の一手
直ちに実施:1) バックアップMFAの無効化とMFA強度ポリシー適用、2) 全社ブラウザ拡張の棚卸しと許可リスト施行、3) IdPの条件付きアクセスで非準拠端末・高リスクを遮断、4) 直近30日の新規ドメインアクセス調査と影響端末の隔離。次に読むべき:BitBの見分け方チェックリスト、ブラウザ拡張ガバナンス実装ガイド(Edge/Chrome/Intune/Google Admin)、Entra ID/Oktaの条件付きアクセス実装手順、AitM検知ハンティングのクエリ例と運用ベストプラクティス。
