拡張機能
ブラウザー拡張機能の危険性については、ブログでたびたび取り上げていますが、今回の記事では、悪意のある拡張機能によって2023年に発生した被害のうち、最も興味深くて珍しく、最も拡散された危険なケースについて見ていきます。また、これらの拡張機能がどのような影響を及ぼしたのか、それに対してどう身を守ればよいのかについても説明します。
バックドアを実装したRobloxの拡張機能
昨年発生したケースから始めましょう。2022年11月、Google Chromeブラウザー拡張機能の公式ストアであるChromeウェブストアで、同じ名前の悪意のある拡張機能「SearchBlox」が発見されました。そのうち1つは、20万回を超えるダウンロードがありました。
この拡張機能の表向きの目的は、Robloxサーバー上で特定のプレイヤーを検索することでした。しかし真の目的は、Robloxプレイヤーのアカウントの乗っ取りと、ゲーム内資産の窃取でした。この情報がBleepingComputerで公開された後、これらの拡張機能はChromeウェブストアから削除され、インストールしたユーザーのデバイスから自動的に削除されました。
Chromeウェブストアで提供されていた悪意のある拡張機能SearchBlox出典
ただし、Robloxの話はこれで終わりません。2023年8月、同じような悪意のある拡張機能がさらに2つ「RoFinder」と「RoTracker」、Chromeウェブストアで発見されました。SearchBloxと同様に、これらのプラグインにはRobloxサーバー上の他のプレイヤーを検索する機能がありましたが、実際にはバックドアが仕込まれていました。Robloxのユーザーコミュニティは最終的に、これらの拡張機能をストアから削除することに成功しました。
RoTrackerもChromeウェブストアで配信されている悪意のある拡張機能(出典)
この事実が示唆するのは、ChromeウェブストアはGoogle Chromeの拡張機能をダウンロード可能なプラットフォームとして世界で最も公認されているものの、モデレーションには改善の余地が多く残されているということ、そして悪意のある拡張機能の作者が自分の作品をストアに紛れ込ませるのは容易であるということです。モデレーターに危険な拡張機能を発見させ、ストアから削除させるためには、被害を受けたユーザーからのレビューだけでは不十分です。多くの場合、メディアやセキュリティ関係者、大規模なオンラインコミュニティによる協力も必要になります。
Facebookアカウントを乗っ取る偽のChatGPT拡張機能
2023年3月、Chromeウェブストアで2つの悪意のある拡張機能が続けて発見されました。これらは、生成AI、ChatGPTの人気に便乗したもので、うち1つは正規の「ChatGPT for Google」拡張機能の偽物で、ChatGPTの回答を検索エンジンの検索結果に統合する機能を提供していました。
感染した偽バージョンの「ChatGPT for Google」拡張機能は、2023年2月14日にChromeウェブストアにアップロードされました。その作成者はしばらくの間待機し、正確に1か月後の2023年3月14日にGoogle検索広告を使用して活動を開始しました。結果、1日あたり約1000人の新規ユーザーを獲得し、脅威が発見されるまでにダウンロードされた数は9000回以上にもなりました。
偽の「ChatGPT for Google」は本物と酷似(出典)
トロイの木馬化された「ChatGPT for Google」のコピーは本物と同じように機能しましたが、悪意のある機能が追加されていました。ブラウザーに保存されているFacebookのセッションCookieを盗むためのコードが追加されていたのです。これらのファイルを使用して、攻撃者は感染した拡張機能をインストールしたユーザーのFacebookアカウントを乗っ取ることができました。
侵害されたアカウントは、違法な目的に使用される可能性があります。リサーチャーが例として挙げた移動住宅メーカーのFacebookアカウントは、攻撃者に乗っ取られた後、過激派組織ISISのコンテンツを配信し始めました。
乗っ取られた後にISISの宣伝に利用されたFacebookアカウント(出典)
別のケースで、攻撃者は「Quick access to ChatGPT」という完全に独自の拡張機能が作成しました。実際、この拡張機能は約束どおりの機能を果たし、生成AIの公式APIを使用してユーザーとChatGPTの間を仲介します。しかし真の目的は、やはりFacebookのセッションCookieを盗み、攻撃者によるFacebookビジネスアカウントの乗っ取りを成功させることでした。
悪意のある拡張機能「Quick access to ChatGPT」(出典)
また攻撃者は、この悪意のある拡張機能の宣伝にFacebook広告を使用し、さらにその費用は、彼らがすでに乗っ取ったビジネスアカウントから支払っていました。この狡猾な手口で、「Quick access to ChatGPT」の作成者は、1日に数千人の新規ユーザーを獲得することができました。最終的に、これらの悪意のある拡張機能は両方ともストアから削除されました。
ChromeLoader:悪意のある拡張機能を含む海賊版コンテンツ
多くの場合、悪意のある拡張機能の作成者は、その拡張機能をChromeウェブストアに配置せず、別の方法で配信します。たとえば、今年の初めにリサーチャーは、新しい悪意のあるキャンペーンに気づきました。このキャンペーンは、サイバーセキュリティ分野では既によく知られているChromeLoaderマルウェアと関係がありました。このトロイの木馬の主な目的は、被害者のブラウザーに悪意のある拡張機能をインストールすることです。
この拡張機能は、ブラウザーに侵入型広告を表示し、偽のプレゼントキャンペーン、アンケート、出会い系サイト、アダルトゲーム、不要なソフトウェアなどに遷移させるリンクで検索結果を偽装します。
2023年に入り、攻撃者は被害者にChromeLoaderをインストールさせるため、様々な海賊版コンテンツを餌として使用しています。たとえば2023年2月、リサーチャーはハッキングされたゲームや「クラック」版ゲームを装ったVHDファイル(ディスクイメージ形式)を通じて、ChromeLoaderが拡散したことを報告しました。使用されたゲームは、EldenRing、ROBLOX、DarkSouls3、RedDeadRedemption2、NeedforSpeed、CallofDuty、Portal2、Minecraft、ゼルダの伝説、ポケモン、マリオカート、どうぶつの森などで、これらのVHDファイルにはすべて、悪意のある拡張機能のインストーラーが含まれていました。
その数か月後の2023年6月、別のリサーチャーが同じChromeLoaderに関する詳細なレポートを発表し、海賊版の楽曲、映画、そしてコンピューターゲームを提供するサイトのネットワークを介して拡散されていることを報告しました。このキャンペーンでは、本物のコンテンツの代わりにVBScriptファイルが被害者のコンピューターにダウンロードされ、悪意のあるブラウザー拡張機能がインストールされました。
ChromeLoaderマルウェアを配信した海賊版コンテンツを提供するサイトの例(出典)
これらがインストールされると、ブラウザー内の危険な拡張機能の存在を素早く警告されますが、それを取り除くのはそれほど簡単ではありません。ChromeLoaderは悪意のある拡張機能をインストールするだけでなく、システムが再起動するたびに拡張機能を再インストールするスクリプトやWindowsタスクスケジューラのタスクをシステムに追加します。
スパイ機能を持つ拡張機能でGmailを盗み見るハッカー
2023年3月、ドイツ連邦憲法擁護庁と大韓民国国家情報院は、サイバー犯罪グループKimsukyの活動に関する共同報告書を発表しました。このグループは、Chromiumベースのブラウザー(Google Chrome、Microsoft Edge、韓国のブラウザーNaver Whale)に対応する感染した拡張機能を使用し、標的のGmailのメールを傍受します。
攻撃者はまず、標的とする特定の個人に一通のメールを送ることから始まります。このメールには、AFと呼ばれる悪意のある拡張機能へのリンクと、拡張機能のインストールをさせるためのテキストが含まれています。その拡張機能をインストールしたブラウザーでGmailを開くと、拡張機能が動作し始めます。その後AFは、標的の通信内容をハッカーのC2サーバーに自動的に送信します。
こうして、Kimsukyは標的のメールボックスの内容にアクセスすることに成功します。しかも、このメールボックスのハッキングのために何も細工をする必要はありません。単に二要素認証をバイパスするだけです。おまけに、この方法を使えば、非常に目立たない方法で何でもできるようになります。特筆すべきは、新しいデバイスや不審な場所からのアカウントアクセス(たとえば、パスワードが盗まれた場合など)について、Googleがアラートを被害者に送信するのを防ぐことができます。
Rilide:仮想通貨を窃取し、二要素認証を回避する悪意のある拡張機能
攻撃者が、仮想通貨ウォレットを標的として悪意のある拡張機能を使用することもあります。たとえば、2023年4月に初めて発見されたRilideという拡張機能は、感染したユーザーの仮想通貨関連のブラウザー活動の追跡を目的として使用されています。被害者が指定されたリストのサイトにアクセスすると、悪意のある拡張機能が仮想通貨ウォレット情報、メールログイン、およびパスワードを窃取します。
さらに、この拡張機能はブラウザー履歴を収集してC2サーバーに送信し、攻撃者によるスクリーンショットの撮影を可能にします。しかし、Rilideの最も興味深い機能は、二要素認証をバイパスできる機能です。
この拡張機能は、ユーザーがオンラインサービスのいずれかで仮想通貨の取引を行おうとしていることを検知すると、確認コードの入力ダイアログを置き換えるスクリプトをページに挿入し、そのコードを盗みます。支払先のウォレットが攻撃者のウォレットに置き換えられ、最後に拡張機能が盗んだコードを使用して取引を確認します。
悪意のある拡張機能Rilideがブロックチェーンゲームを装ってXで宣伝された様子(出典)
Rilideは、Chromiumベースのブラウザー(Chrome、Edge、Brave、Opera)を使ってユーザーを攻撃する際、疑われることを避ける目的で正規のGoogleドライブ拡張機能を模倣します。Rilideは、ブラックマーケットで自由に販売されており、互いに無関係な攻撃者が使用しています。このため、悪意のあるWebサイトやメールから、Xで宣伝されている感染したブロックチェーンゲームインストーラーに至るまで、様々な配信方法が発見されています。
特に興味深いRilideの配信方法の1つは、誤解を招くPowerPointプレゼンテーションによるものでした。このプレゼンテーションはZendeskの従業員に向けたセキュリティガイドを装っていましたが、実際には悪意のある拡張機能をインストールするための手順が書かれたものでした。
Zendesk従業員向けのセキュリティプレゼンテーションを装った、悪意のある拡張機能をインストールするための手順(出典)
Chromeウェブストアに多数存在する悪意のある拡張機能:合計8700万回ダウンロード
そしてもちろん、忘れることができないのは、Chromeウェブストアで数十個もの悪意のある拡張機能が、リサーチャーによってこの夏に発見されたことです。ダウンロード数は計8700万回を超えました。PDFファイルの変換ツールや広告ブロッカー、さらに翻訳ツールやVPNまで、各種のブラウザープラグインが発見されました。
これらの拡張機能は、2022年と2021年にChromeウェブストアに追加されたことが確認されています。したがって、発見された時点で既に数か月、1年、またはそれ以上経過していました。この拡張機能のレビューの中には、警戒心の強いユーザーから、拡張機能が広告で検索結果を偽装しているという苦情もありました。しかし残念ながら、Chromeウェブストアのモデレーターはこうした苦情を無視しました。悪意のある拡張機能がストアから削除されたのは、複数のセキュリティのリサーチグループがこの問題をGoogleに報告した後でした。
悪意のある拡張機能の中で最も人気のある「Autoskip for YouTube」。Chromeウェブストアから900万回以上ダウンロードされた(出典)
悪意のある拡張機能から身を守る方法
危険なブラウザー拡張機能は、公式のChromeウェブストアを含む各種のダウンロード元からデバイスにインストールされる可能性があります。アカウントの乗っ取りや検索結果の変更から、通信内容の読み取りや仮想通貨の窃取まで、悪意のある拡張機能は幅広い目的で使用されます。したがって、次のような予防措置を講じることが重要です。
- 不要なブラウザー拡張機能をインストールしないようにしてください。ブラウザーの拡張機能は、少ないに越したことはありません。
- 拡張機能をインストールする場合は、未知のWebサイトからではなく、公式ストアからインストールするようにしましょう。もちろん、これで危険な拡張機能に遭遇するリスクが完全に排除されるわけではありません。しかし少なくとも、Chromeウェブストアはセキュリティについて真剣に考えているはずです。
- インストール前に、拡張機能のレビューを読んでください。何か問題があれば、既に誰かが気づいて開発元や他のユーザーに知らせているかもしれません。
- ブラウザーにインストールされている拡張機能のリストを定期的に確認してください。使用しないもの、特にインストールした覚えのないものは削除してください。
- すべてのAndroidデバイスに、信頼性が高い保護アプリを必ずインストールしてください。
ヒント