サイバーセキュリティ企業Socketの脅威調査チームによって、危険なGoogle Chrome用拡張機能が、合計108個特定された。その標的はGmailとYouTubeのユーザーだけではない。Telegram(テレグラム)とTikTokのユーザーをもターゲットとする組織的な脅威の一部であることが判明した。
レポート公開時点で約2万件がインストール済み、アプリが公開されたままの状態
これらの悪意ある拡張機能はすべて、攻撃者が運用する単一のコマンド&コントロール(C2:攻撃者が遠隔から指令を送るためのサーバー基盤)に接続されており、米国時間4月13日にセキュリティレポートが公表された時点で、既知のインストール数は合計で約2万件に達していた。
とりわけ憂慮すべきは、レポートの執筆者でSocketセキュリティ脅威調査チームに所属するクシュ・パンディヤが次のように述べている点である。「これらの拡張機能は本稿執筆時点でも公開されたままである。私たちは『Chrome ウェブストア』のセキュリティチームおよび『グーグル・セーフブラウジング』セキュリティサービスに対して削除要請を提出した」。筆者はグーグルにコメントを求めているが、それまでの間に、この脅威キャンペーンについて現時点で判明している内容を以下にまとめる。
悪意ある拡張機能が108件確認され、約11億円の被害事例も発生
ウェブブラウザー拡張機能のうち、少なくとも攻撃者に悪用される怪しい類のものに関して言えば、関連ニュースの見出しが次々と流れることで、ユーザーがうんざりして警戒心を失ってしまう危険がある。だが、それは大きな誤りだ。
例えば、バイナンスが買収した非管理型(ノンカストディアル)暗号資産ウォレット『Trust Wallet』のChrome拡張機能版が侵害された事例では、ユーザーから700万ドル(約11億1300万円)が盗まれた。もちろん、すべての被害額がそこまで大きいわけではないが、今回のSocketのレポートは、悪意ある拡張機能を中心とする組織的な脅威キャンペーンを無視してはならないことを改めて示している。
研究者たちは以下の事実を確認した。
・54個の拡張機能:OAuth2(認証プロトコルの一種)を介してGoogle アカウントの本人確認情報を窃取するように設計されていた
・45個:ブラウザー起動時に任意URLを開くマルウェア・バックドア(不正な裏口)が仕込まれていた
・2個:YouTubeのセキュリティヘッダーを除去するだけでなく、さらに広告を挿入していた
・2個:ブラウザーユーザーが訪問するすべてのページにコンテンツスクリプトを挿入していた
・1個:Telegramウェブのセッション情報を15秒ごとに外部に送信していた
・1個:Telegramのセッション窃取のための段階的なインフラを含んでいたが、レポート時点では未発動であった
・1個:TikTok のセキュリティヘッダーを除去し、広告を挿入していた
・1個:すべての翻訳リクエストを攻撃者のサーバー経由で中継していた
