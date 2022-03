2022年03月22日 20時00分 セキュリティ

「Googleでログイン」「Facebookでログイン」などのOAuth認証を模倣してパスワードを盗み出す手口が考案される



ウェブサービスの中には、サインインの際にGoogleやFacebookといった他サービスのアカウントを用いる「OAuth認証」が可能なものも存在しています。このOAuth認証ページを模倣することでパスワードやIDを盗み出す手口が考案されました。



Browser In The Browser (BITB) Attack | mr.d0x

https://mrd0x.com/browser-in-the-browser-phishing-attack/



Behold, a password phishing site that can trick even savvy users | Ars Technica

https://arstechnica.com/information-technology/2022/03/behold-a-password-phishing-site-that-can-trick-even-savvy-users/



OAuth認証は、他のウェブサービスの登録情報を利用してウェブサービスへのサインインを可能とするものです。例えば、以下は画像編集サイト「Canva」のページで表示されるOAuth認証への誘導画面で、各種サービスのアカウントでログインできる「Appleで続行」「Googleで続行」などという文字が並んでいます。





「Appleで続行」をクリックすると、OAuth認証ページが別ウィンドウで開きます。OAuth認証を利用すると、AppleやGoogleに登録した個人情報をもとに認証が行われ、Canvaなどの各ウェブサービスにはアクセスを許可するトークンのみが提供されます。このため、個人情報を多くのウェブサービスに明かしたくないユーザーにとって利便性の高い認証方式とされています。





上述の通りOAuth認証は利便性が評価されて多くのウェブサービスに採用されています。しかし、セキュリティ研究者のmr.d0x氏は、OAuth認証の認証画面をHTMLやCSSで偽装することが非常に容易であると報告しています。以下の画像は、左側がmr.d0x氏が作成した偽のFacebook認証ページで、右が本物のページです。一見すると、両者の違いはほとんどないように見えます。





こののような偽物のページを偽物のウェブサイトに埋め込むことで、ユーザーは疑わずに資格情報を入力してしまう可能性があるとのこと。この手口は過去にSteamの資格情報を盗もうとするフィッシングサイトで用いられたことも確認されています。



By Zscaler



mr.d0x氏はこの手口を「Browser In The Browser(BITB)攻撃」と名付け、「わずかな違いに気付く人はほとんどおらず、基本的に本物と区別できなくなります」と述べています。