「便利そうだから」と何気なくインストールしたChrome拡張機能が、裏側でこっそりデータを抜き取り、閲覧するページに広告を注入していた――。そんなゾッとする事態が、また明らかになりました。
サプライチェーンセキュリティ企業のSocket社は、ゲームやユーティリティ、SNSツールを装った108個の悪意あるChrome拡張機能を発見しました。合計ダウンロード数は約2万回に達しており、すでに多くのユーザーが被害を受けている可能性があります。
しかも今回の手口には、パスワードを変更しても逃げ切れない「永久追跡」という厄介な特徴がありました。
どんな拡張機能が危険なのか?(主なリスト)
今回発見された108個の拡張機能は、5つの異なる開発者名義で公開されていました。しかし、盗んだデータの送信先はすべて同じ指令サーバー(C2サーバー)であったことが判明しています。これは偶然ではなく、組織的な犯行であることを強く示唆しています。
インストール数が多い主な拡張機能は以下の通りです。心当たりがある方は、今すぐブラウザの設定を確認してください。
・Web Client for TikTok(2,000回以上)
・Web Client for Telegram – Teleside(1,000回以上)
・YouSide – Youtube Sidebar(1,000回以上)
・Web Client for Youtube – SideYou(1,000回以上)
・Formula Rush Racing Game(1,000回以上)
・Page Auto Refresh(1,000回以上)
・Page Locker(1,000回以上)
・Text Translation(1,000回以上)
・Clear Cache Plus(1,000回以上)
・Speed Test for Chrome – WiFi SpeedTest(1,000回以上)
・Piggy Prizes – Slot Machine(500回以上)
・Master Chess(500回以上)
これらはほんの一部です(108個の完全なリストはSocketのレポートで公開されています)。なお、対象となるのはChromeだけでなく、Microsoft EdgeなどChromiumベースのブラウザすべてです。「自分はEdgeだから大丈夫」とは思わないでください。
裏側で何が起きていたのか? 3つの攻撃パターン
これらの拡張機能は、表面上は普通のアプリやゲームとして動作するため、ユーザーが異変に気づくことはほぼありません。しかし裏側では、大きく分けて3つのパターンで悪質な攻撃が行われていました。
パターン1:Telegramアカウントのリアルタイム監視・乗っ取り
一部の拡張機能は、15秒ごとにTelegramのWebセッションを外部へ送信し、アカウントの乗っ取りを試みていました。これはほぼリアルタイムの監視に等しく、日常的にTelegramを使っている方にとっては、知らないうちにアカウントを完全にコントロールされるリスクがありました。
パターン2:ブラウザへの「バックドア」設置
45個の拡張機能は、ブラウザに「ユニバーサルバックドア(攻撃者がいつでも侵入できる裏口)」を仕込んでいました。これが設置されると、拡張機能を削除しない限り、ブラウザを起動するたびに攻撃者が任意のWebページを勝手に開くなどの操作が可能になります。
パターン3:Googleアカウントの「永久ID」窃取(最も危険)
108個のうち54個の拡張機能が狙っていたのは、Gmailアドレス、氏名、プロフィール画像URLに加え、Googleが各アカウントに割り振る「sub ID」と呼ばれる識別子です。
通常、不正アクセスに気づいた際はパスワードやメールアドレスを変更してリセットを図ります。しかし、sub IDはGoogleがアカウントに永久的に紐づけている識別子のため、ユーザー側で変更することができません。 攻撃者がこのIDを手に入れると、将来あなたが別のサービスを利用した際にも「これはあの時の人物だ」と特定され、複数のプラットフォームにまたがる閲覧履歴を紐づけられ、永続的なデジタルプロフィールを構築されてしまう恐れがあるのです。
なぜChrome Web Storeの審査をすり抜けられるのか?
「Googleの審査を通っているのになぜ?」と疑問に思う方も多いでしょう。
Chrome Web Storeは手動と自動のレビューを組み合わせて審査を行っていますが、攻撃者はあの手この手で網の目をかいくぐります。
・アップデートでの豹変: 最初は無害なクリーンコードで審査を通過し、後からアップデートで悪意あるコードを追加する手法。拡張機能は自動更新されるため、気づかぬうちに「危険なアプリ」に変貌します。
・買収による感染: 人気の拡張機能を開発者から買い取り、既存ユーザーに対して悪意あるアップデートを一斉配信する戦略。
・開発者のフィッシング被害: 開発者自身が騙され、権限を攻撃者に渡してしまうケース。
Chromeはブラウザ市場で約65%のシェアを占めており、攻撃者にとって最も「効率の良い」ターゲットです。約11万以上の拡張機能すべてを完璧に監視し続けることは、現実的に困難な状況です。
まとめ
「拡張機能なんてほとんど入れていないから大丈夫」と思った方も、念のため以下の確認を行うことをおすすめします。過去に入れて存在を忘れている拡張機能が、最も危険です。
・拡張機能の棚卸しをする ブラウザの右上にある「︙(三点メニュー)」>「拡張機能」>「拡張機能を管理」を開きます。上記リストに該当するもの、または見覚えのないものがあれば即座に削除してください。
・「使っていない拡張機能」はすべて削除する 現在は安全でも、将来的に開発者が変わったり悪意あるコードが仕込まれたりするリスクがあります。「念のため残しておく」はセキュリティ上、最も危険な選択肢です。
・Googleアカウントのセキュリティ診断を行う 該当する拡張機能を入れていた場合、パスワード変更だけでは不十分です。[Googleのセキュリティ診断ページ]にアクセスし、不審なログインや見覚えのないサードパーティ製アプリとの連携(OAuth権限の付与)がないか確認し、あればアクセス権を取り消してください。
出典:
