Chromeの自動更新機能が「完全に機能する攻撃ツール」を配布
Chromeの自動更新機能は、機能拡張をアップデートする際には、「以前と同じ権限」の範囲内であれば利用者に対して確認を行うことはない。新たな権限が必要な場合でも、その権限を許可して再有効化するか1度確認するだけである。そのため攻撃者は、ブラウザー内で動作する「完全に機能する攻撃ツール」を、正規の7000人のユーザー全員に配布できた。この悪意あるアップデートには、グローバルセキュリティヘッダー(ウェブサイトのセキュリティポリシーを制御する応答ヘッダー)の除去、痕跡を消す隠密なクリーンアップ、そして極めつきの機能として、画像ピクセルのonloadトリック(画像の読み込みイベントを悪用してコードを実行する手法)によるリモートコード実行といった、ありがたくない「機能」が追加されていた。
グーグルはChrome ウェブストアからQuickLensを削除し、ブラウザー内で無効化した
要点は何か。ユーザーは偽のGoogle Update(グーグル・アップデート)アラートの集中砲火を浴びた。その実態はClickFix型の認証情報窃取攻撃の亜種であった。最終的な標的は、暗号資産の認証情報とウォレットアドレスだった。ブラウザー拡張機能が侵害され、まさにこの目的に使われた事例を筆者が報じるのは今回が初めてではない。直近では、Trust Wallet(トラスト・ウォレット)が公式Chrome拡張機能の侵害を確認し、少なくとも700万ドル(約11億円)相当の暗号資産が盗まれる事態につながった。
筆者はグーグルにコメントを求めているが、朗報としては、侵害されたQuickLensはすでにChrome ウェブストアから削除されている。さらに、Chrome側でも自動的に無効化されたようであり、既存ユーザーも保護されている。しかし悪い知らせもある。正規の拡張機能が悪質なものへと変貌する事例は、これが最後とは考えにくいということだ。
それとは別に、いつもの助言はそのまま当てはまる。公式アプリやサービスの更新は、信頼できるURLを自分で入力してアクセスした公式サイトからのみ行うこと。ここで述べたようなポップアップやリンクをクリックして更新してはならない(訳注:この最後の助言は記事中の偽アラートへの対策となっている。記事の本体で述べた正規の拡張機能が自動更新を通じて乗っ取られるサプライチェーン攻撃そのものを防ぐものではない)。
