DomainToolsによれば、これらの攻撃は1年以上前から準備されていたという。「この悪意のある攻撃者は、100を超える偽ウェブサイトと二重機能を持つ悪意のあるChrome拡張機能を展開している。分析の結果、これらの拡張機能は攻撃者が制御するサーバーから任意のコードを取得し、訪問したすべてのウェブサイト上で実行できることが判明した。これにより、認証情報の窃取やセッションの乗っ取り、広告の挿入、悪意のあるリダイレクト、トラフィックの操作、DOM操作を介したフィッシングなどが可能になる。また、一部の拡張機能はブラウザー内のすべてのクッキーを盗もうと試みており、アカウント侵害につながる恐れがある」。
advertisement
Chromeウェブストアは「マルウェアと判明した拡張機能を複数削除した」とされるが、DomainToolsは「検出から削除までのタイムラグがあるため、生産性向上ツールやブラウザー拡張機能を探すユーザーにとって脅威となる」と警告している。
安全を保つには、拡張機能をインストールする前によく確認する必要がある。公式のウェブストアを利用するのはもちろん、拡張機能名やレビューを入念にチェックし、それを提供している開発者が認証済みかどうかも確かめるべきだ。こうしたアドオンソフトウェアはChromeにとって古くからの脆弱性であり、「これらの脅威を回避するには警戒が鍵となる」のだ。
DomainToolsが今回の攻撃で関与していると特定したAPIドメインの大半は「.TOP」というトップレベルドメインを使用している。「.TOP」は常に高リスクと見なすべきだという警告が改めて示された形だ。
advertisement
