するめ

Microsoft 365の認証情報を狙う新たなBrowser-in-the-Browser（BitB）フィッシング攻撃が確認された。攻撃者はMicrosoftのOAuth認証画面を模倣した偽のログインウィンドウを表示し、利用者をだまして認証情報を入力させる。 BitB攻撃は本物のブラウザーウィンドウを開くのではなく、Webページ内に偽のポップアップを描画する手法である。今回のキャンペーンでは、ウィンドウがドラッグ可能で、Microsoft OAuthのURL表示やサインイン画面も再現されている。 さらに、偽ウィンドウは利用者のOSやブラウザー情報に応じて表示内容を調整し、実際のブラウザーやシステムダイアログのように見せかける。そのため、見た目だけでは本物と区別しにくい。 Unit 42によると、このキャンペーンには解析回避機能も組み込まれている。デバッグ検出やコード難読化、自動解析システムやボットを別ページへ誘導する機能などが確認されており、セキュリティ製品による検知を回避しようとしている。 利用者がパスワードを入力すると、攻撃者は認証情報を窃取できる。さらに、セッション情報の取得によって多要素認証（MFA）への依存を悪用する可能性もある。 研究者は、パスキーやWebAuthnなどのフィッシング耐性を持つ認証方式の利用を推奨している。また、ログイン画面はリンク経由ではなく直接アクセスし、ポップアップがブラウザー外へ移動できるか、パスワードマネージャーが正常に動作するかなどを確認することが重要だとしている。 https://t.co/PVuBtxAIKC

MicrosoftがGitHub上で公開していた複数のオープンソースプロジェクトへのアクセスを一時停止した。調査によると、攻撃者がプロジェクトを侵害し、認証情報を窃取するマルウェアをコードへ混入させた可能性がある。 影響を受けたプロジェクトの多くはAzure関連ツールや、Claude Code、Gemini CLI、VS CodeなどのAI開発環境で利用される開発者向けツールに関連している。 CloudsmithおよびOpenSourceMalwareによると、混入されたマルウェアは利用者が対象ツールをAIコーディングアプリ内で開いた際に、パスワードやその他の認証情報を窃取する機能を備えていたという。 Microsoftは調査のため一部リポジトリを非公開化したことを認めている。調査後に復旧したリポジトリもあるが、一部は引き続き停止されたままとなっている。 またMicrosoftは、影響を受けた可能性がある少数の利用者へ個別に通知を行ったと説明した。ただし、影響を受けた利用者数やダウンロード数は公表していない。 GitHub上では少なくとも70件のMicrosoft関連プロジェクトが無効化されたことが確認されている。 この事案は、ソフトウェア開発の供給網を狙うサプライチェーン攻撃の一例とみられている。さらにOpenSourceMalwareは、5月に侵害が報告されたMicrosoftのオープンソースプロジェクト「Durable Task」の再侵害である可能性を指摘している。 https://t.co/MMN9huMLgX