ブラウザーの拡張機能から企業秘密が漏れる可能性

2019年9月19日

2019年7月、サイバーセキュリティリサーチャーのサム・ジャダリ(Sam Jadali)氏は、ChromeとFirefoxの一部の拡張機能が閲覧履歴を収集して第三者に送信していることを発見しました(英語サイト)。それだけでなく、このようなデータを売買しているプラットフォームも見つかりました。

これだけでは特に危険な感じはしないかもしれません。社員の誰かが取引先のWebサイトにアクセスしたことやSNSの企業アカウントにログインしたことを第三者が知ったとして、分かるのはWebサイトのアドレスくらいのものです。それ以外の情報にはアクセスできないなら、気にするほどでもなさそうに思われます。しかし、今回見つかった拡張機能は、企業の社内データをリークしていました。

あなたに関する情報をあらわにするリンク

取引先やパートナー企業のSNSや公式Webサイトから会社の機密情報が漏れる可能性は、ほぼありません。それよりも懸念されるのは、特別なリンクからでないとアクセスできない「非公開」ページが情報漏洩に使われる可能性です。現実問題として、このようなページを保護しているのは「部外者にアドレスを知られていない」という、その1点にすぎません。このようなページの例は以下のとおりです。

オンライン会議

オンラインでの会議を頻繁に行っている企業を例に考えてみましょう。さまざまな部署の社員が、オンライン会議を通じて進行中のプランについて話し合ったり、ブレーンストーミングを実施したり、上司から情報を受け取ったりしています。こういった会議向けのプラットフォームは多数あり、主催者が付与するキーがなければ参加できないプラットフォームもありますが、小規模の会社でよく使われる無料または低価格のソリューションの場合、主催者から関係者全員に送信された会議専用IDを含むリンクさえあれば、誰でも会議に参加できます。

さて、このリンクを受け取った1人の社員のブラウザーに、情報を吸い上げて部外者に渡すタイプの拡張機能がインストールされていました。この人が会議に参加した瞬間、この悪意ある拡張機能は会議用のURLを闇市場に送ります。この企業に関する情報収集をもくろむ攻撃者、あるいはただチャンスを狙っている攻撃者がこの人の閲覧履歴を購入し、アクセス可能な会議の1つが今まさに開催中であるのに気づきます。

こうして、履歴を購入してリンクを手に入れた攻撃者は社内会議に参加できてしまいます。当然ながら、誰かが会議に参加したという通知が他の参加者に届きます。しかし、会議に数十人が参加していて、必ずしも互いに顔見知りではない場合、この人は誰かと尋ねる人はまずいません。こうして、会議の内容はすべて部外者の知るところとなります。

取引先からのオンライン請求書

取引先の中には、オンラインの請求サービスを利用している企業があるかもしれません。一部のサービスでは専用のリンクから請求書へアクセスできるようになっていますが、専用とはいえ、このリンクを知っていれば誰でも請求書を見られます。その誰かが攻撃者だった場合、あなたの勤め先や取引先の企業名、住所、支払額などの情報が攻撃者の手に渡ります。

確かに、このような情報が悪者の手に渡っても特に悪いことにならない場合が多いのですが、ソーシャルエンジニアリングを活用する犯罪者から見ると、請求書には貴重な情報が含まれています。

仕事関係の書類

共同作業用にGoogleドライブなどのオンラインサービスを利用する企業も多数あります。このようなサービスの場合、理論上は、ファイルへのアクセスを制限して部外者をブロックすることが可能です。しかし、共有ファイルにそのような制限をかけていない人もいます。そのため、ファイルへのリンクを持っている人なら誰でもそのファイルを見ることができ、ファイルの編集もできるような事態がしばしば発生します。

こういった文書には、価格の見積から社員の個人情報まで、あらゆる種類の情報が含まれる場合があります

大規模なデータ漏洩から身を守るには

情報漏洩のリスクを最小限に抑えるため、社員に対してはブラウザーの拡張機能をインストールする前に細心の注意を払うように伝えましょう。また、使用しているオンラインサービスにアクセス制限機能があるならば、ファイルを共有するときはファイルへのアクセスに制限をかけてから共有するように徹底させてください。管理側としては、安全性が検証されているブラウザー拡張機能をリスト化しておき、それ以外は使用を禁止すると良いでしょう。

さらに、認証を要求せずにリンク先へのアクセスを許可しているサービスがないかどうか、企業で使用しているオンラインサービスを調査しましょう。リンクをクリックすれば誰でもアクセスできるようなサービスがあった場合は、よりセキュリティの強固な代替手段を探してください。

最後に、社内のコンピューターすべてに信頼性の高いセキュリティソリューションをインストールし、悪意ある拡張機能のインストールをはじめとするセキュリティの脅威をブロックすることをお勧めします。