Chrome拡張機能が狙われた!260万人以上のユーザーデータが盗難の危機に

当ページはアフィリエイト広告を利用しています

2025.01.05
記事内に広告が含まれています。
Chrome拡張機能が狙われた!260万人以上のユーザーデータが盗難の危機に

現代のデジタルライフに欠かせないChromeブラウザ拡張機能。しかし、その利便性の裏には深刻なセキュリティリスクが潜んでいるかもしれません。最近の攻撃キャンペーンでは、少なくとも35種類のChrome拡張機能がハッキングされ、260万人以上のユーザーがデータ盗難の危険に晒されています。本記事では、この攻撃の手口と影響について詳しく解説します。

はじめに

新たな攻撃キャンペーンがChromeブラウザ拡張機能を標的にし、少なくとも35種類の拡張機能が改ざんされ、多くのユーザーがデータの盗難に晒されました。

当初、このキャンペーンに光を当てたのは、サイバーセキュリティ企業のCyberhavenでした。同社の従業員が12月24日にフィッシング攻撃の標的にされ、攻撃者が悪意のある拡張機能を公開できるようになったのです。そして12月27日、自社のブラウザ拡張機能が攻撃者によって改ざんされたことを明らかにしました。

攻撃の手口と開発側の被害内容

今回の攻撃の手口は、拡張機能の発行者をフィッシングメールで騙し、アクセス権限を取得した後、その拡張機能に悪意のあるコードを追加したわけです。この方法により、既存の拡張機能が改ざんされ、これを利用するユーザーのクッキーやアクセス トークンを盗むことが可能となりました。以下に攻撃のステップを記します。

フィッシングメール: 攻撃者は開発者プログラムポリシーの違反を理由に、Google Chrome Web Storeの開発者サポートを装い、拡張機能が削除される緊急事態のフィッシングメールを送付。

アクセス権限の取得: メール受信者(開発者)は、ポリシーを受け入れるためのリンクをクリックしたことで、悪意のあるOAuthアプリケーション「Privacy Policy Extension」に許可を与えるページへとリダイレクト。次に開発者がこのページに対し、許可を与えることで、結果的に攻撃者は(開発者の)拡張機能に悪意のあるコードを挿入する権限を取得。

悪意のあるコードの挿入: 攻撃者は、取得した権限を利用して合法的な拡張機能に悪意のあるコードを挿入。

OAuthアプリケーションとは?

ちょっと意味がわかりませんよね。

まず、OAuth(Open Authorization)とは、ある特定のWEBサービス(またはアプリケーション)が要求する、ユーザーのデータに対してアクセス許可を発行するプロトコルです。わかりやすく言うと、ユーザーがログイン情報を第三者のアプリケーションに提供せずに、第三者がユーザーのデータにアクセスできる仕組みのことです。ちなみにワンクリックでWebサービスにログインする際のユーザー認証にも利用されています。

例えば、あなたが(特定の)ウェブサイトでよく見かける「Googleでログイン」ボタン。そのウェブサイトはあなたのGoogleアカウントの情報(例えば、メールアドレスやプロフィール情報など)にアクセスするための許可を要求しているわけです。そしてあなたが「Googleでログイン」ボタンをクリックすることで、OAuthがそのウェブサイトに必要なGoogleアカウント情報のアクセス権限を付与するというわけです。

今回はそのOAuthが悪用されました。

つまり攻撃者は、巧妙なフィッシングメールで悪意のあるOAuthアプリケーション「Privacy Policy Extension」を通じて開発者のGoogleアカウント情報へのアクセス権限を取得しました。

その権限を利用して、既にChrome Web Storeにアップロードされていた合法的な拡張機能のコードを改ざんし、悪意のあるコードを挿入したのです。これにより、合法的な拡張機能が改ざんされ、結果的にそれらを利用する多くの(ユーザーの)データが盗難に晒された、というわけです。

悪意のある拡張機能の公開

攻撃者は悪意のあるアプリケーション「Privacy Policy Extension」を介して必要な権限を取得し、Chrome Web Storeに悪意のあるChrome拡張機能をアップロードしたのです。つまり通常のChrome Web Storeセキュリティレビュープロセスを経て、この悪意のある拡張機能は公開されたということ。

LayerX SecurityのCEOであるOr Eshedは「ブラウザ拡張機能はウェブセキュリティの弱点です。多くの組織はエンドポイントにインストールされている拡張機能を把握しておらず、その露出の範囲を認識していません」と述べています。

注意すべき他の拡張機能

SaaSセキュリティ企業Nudge SecurityのCTO、Jamie Blasco氏は、Cyberhavenの侵害に使用されたC2サーバー(攻撃者がマルウェアやボットネットを遠隔操作し、命令を送るためのサーバー)のIPアドレスに関連する新たなドメイン(インターネットアドレス)を特定しました。さらに、Secure AnnexとExtension Totalというセキュリティプラットフォームによる調査で、他にも多くのChrome拡張機能が改ざんされている可能性があることが明らかになりました。

以下は、その一部です:

  • AI Assistant – ChatGPTとGemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMInd AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vidnoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus
  • Tackker – online keylogger tool
  • AI Shop Buddy
  • Sort by Oldest
  • Rewards Search Automator
  • ChatGPT Assistant – Smart Search
  • Keyboard History Recorder
  • Email Hunter
  • Visual Effects for Google Meet
  • Earny – Up to 20% Cash Back
  • Where is Cookie?
  • Web Mirror
  • ChatGPT App
  • Hi AI
  • Web3Password Manager
  • YesCaptcha assistant
  • Bookmark Favicon Changer
  • Proxy SwitchyOmega (V3)
  • GraphQL Network Inspector
  • ChatGPT for Google Meet
  • GPT 4 Summary with OpenAI
出典:TheHackerNews『Dozens of Chrome Extensions Hacked, Exposing Millions of Users to Data Theft

これらの追加の改ざんされた拡張機能は、Cyberhavenだけでなく、広範な攻撃キャンペーンの一部であることを示しています。

ユーザー側の主な被害内容

Cyberhavenの拡張機能に挿入された悪意のあるコードは、主にFacebookアカウントのアイデンティティデータとアクセス トークンを標的にしており、特にFacebook Adsユーザーを狙っています。

このコードは、ユーザーがFacebook[.]comのウェブサイトをクリックするたびにQRコードを探し、C2サーバーに送信するものでした。というのも、QRコードは特に二要素認証(2FA)の一部として使用されることが一般的だからです。

目的はこのQRコードを利用して2FAを回避すること。

つまり、ユーザーがFacebookの2FAを設定している場合でも、攻撃者はQRコードを通じて認証情報を入手、つまるところセキュリティチェックを回避し、ユーザーになりすますことができるようになるということです。

これにより、攻撃者はユーザーのFacebookアカウントにアクセスし、個人情報やその他の機密データを盗むことができるようになります。

Chromeストアから拡張機能は削除されたが…

悪意のあるバージョンの拡張機能は、公開されてから約24時間後に削除されました。

他のいくつかの拡張機能もすでに更新または削除されています。しかし、拡張機能がChromeストアから削除されたからといって、終わったわけではありません。ユーザーが所持するデバイス上にまだ悪意のあるバージョンが存在する限り、攻撃者は依然としてデータを漏洩させることができます。

結論

今回の攻撃キャンペーンの背後にいる人物やグループについては不明ですが、これらの改ざんされたChrome拡張機能は多くのユーザーに重大なリスクをもたらしています。特に、個人情報やアクセス トークンの盗難など、深刻な影響を及ぼす可能性があるでしょう。したがって、ブラウザ拡張機能のセキュリティに対する意識を高め、適切な対策を講じることが急務です。

ユーザーができる今後の対策

  1. 拡張機能の確認と更新
    • 使用している拡張機能が最新バージョンであることを確認し、定期的に更新する。
    • 不審な拡張機能や不要な拡張機能はアンインストールする。
  2. 信頼できるソースからの拡張機能のインストール
    • 信頼できる開発者や企業が提供する拡張機能を使用する。
    • 拡張機能の評価やレビューを確認し、疑わしいものは避ける。
  3. フィッシングメールへの注意
    • フィッシングメールに注意し、不審なメールやリンクはクリックしない。
    • セキュリティ警告や緊急メッセージには慎重に対応する。
  4. 二要素認証(2FA)の導入
    • 重要なアカウントには二要素認証(2FA)を有効にする。
    • 認証アプリやハードウェアトークンを使用する。
  5. セキュリティソフトウェアの導入と更新
    • 信頼できるセキュリティソフトウェアをインストールし、定期的に更新する。
    • ウイルススキャンやマルウェア検出を定期的に行う。
  6. 定期的なバックアップ
    • 重要なデータは定期的にバックアップを取り、オフラインで保管する。

最後に

ユーザーがこれらの対策を講じ、セキュリティ意識を高め、適切な対応を行うことで、被害を未然に防ぐことが重要です。

出典

TheHackerNews『Dozens of Chrome Extensions Hacked, Exposing Millions of Users to Data Theft