データを盗み出すChrome拡張機能

2018年6月18日

アプリやソフトウェアを扱うストアを運営する企業(Google、Apple、Amazonなど)は、セキュリティ製品のベンダーと同じほどの真剣さでマルウェアと戦う必要性に迫られています。この戦いには終わりがありません。サイバー犯罪者がマルウェアを作成してオンラインストアに忍び込ませ、オンラインストアでマルウェアが発見されて公表され(そして削除され)、同じことが起きないようにストアのセキュリティポリシーが更新され、そしてサイバー犯罪者は新しいポリシーをかいくぐってマルウェアをストアに忍び込ませる方法を画策する…その繰り返しです。

Kaspersky Labでは、アプリを入手する場合は必ず公式サイト/ストアから、とお勧めしています。これは公式ストアならマルウェアに感染する心配がゼロであるという意味ではなく、他の場所から入手するよりはまだ良いという話です。Google Playの安全性はかなり高いのですが、一方で、Chromeウェブストアは少し事情が違っているようです。当社のエキスパートは先ごろ、利用者の銀行データを狙う悪意ある拡張機能をChromeウェブストアで発見しました。

ブラウザーに潜む、バンキング型トロイの木馬

それは「Desbloquear Conteúdo」(ポルトガル語で「コンテンツのロック解除」)という名前でありながら、実際には中間者攻撃を実行する拡張機能でした。利用者が銀行のWebサイトを訪れると、悪意あるスクリプトが、サイバー犯罪者のプロキシサーバーを介してトラフィックをリダイレクトします。犯罪者はそのトラフィックを分析して、狙った情報を手に入れられる仕組みでした。

このマルウェアには、利用者がオンラインで入力した特定の情報を抜き出すためのスクリプトも実装されていました。たとえば、利用者が銀行のログインページにアクセスすると、一見銀行のインターフェイスと同じ画面が本物の画面の上に表示されます。そこで利用者がログインID、パスワード、確認用のワンタイムコードの各フィールドにデータを入力し、ログインボタンを押すと、マルウェアがそのデータを取得するのです。

悪質な指令サーバーが置かれていたドメインは、以前に不正を暴かれたドメインと同じIPアドレスが使われており、それが当社のリサーチャーの注意を引く一因となりました。疑念が確定したところでリサーチャーがGoogleに問い合わせ、このマルウェアはすぐにChromeウェブストアから削除されました。

Chromeの拡張機能をインストールするときには、何らかの権限が要求されますが、その結果、コンピューターに対してほぼ何でもできるようなレベルの権限を与えてしまうことが往々にしてあります。悪意あるプログラムのほとんどは「アクセスしたウェブサイト上にある自分の全データの読み取りと変更」の権限を求めてきますが、これはかなり影響力の強い権限です。

したがって、拡張機能に関しては細心の注意を払いましょう。簡単にインストールできますし、インストールしても大して影響がないとか別に害はないだろうなどと思いがちですが、無害なものばかりではありません

ブラウザーの拡張機能に注意が必要な理由

ブラウザー向けの悪意ある拡張機能から自分を守る

ブラウザー向けの便利な拡張機能を装うマルウェアに感染しないためには、以下を参考にしてください。

  • インストールするのは、本当に信頼できる拡張機能だけにしましょう。信頼性を完全にテストできる方法は残念ながらありませんが、少なくとも、評判のよい開発元が提供する、利用者の多いものだけを使用してください。
  • どうしても必要な場合を除き、余計な拡張機能を追加しないようにしましょう。
  • 拡張機能が不要になった場合は、削除しましょう。必要なときにいつでも再インストールできます。
  • 定評のあるセキュリティ製品を使用しましょう。たとえばカスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)の場合、Chromeの新しい拡張機能はすべてマルウェアの有無を当社にて分析してチェック済みです。