出典:tofino / Alamy Stock Photo
ブラウザー拡張機能は、広告のブロック、パスワード管理、メモの作成など、ウェブブラウザーに便利な機能を追加しますが、同時に組織のセキュリティやプライバシーリスクも高めます。放置されると、XXX
ブラウザー拡張機能は攻撃者にとって魅力的な特定レベルの権限を必要とします。ユーザーの位置情報、閲覧履歴、クリップボード(コピーしたデータの確認)などへのアクセスを必要とする拡張機能もあります。さらに進んで、ユーザーのコンピューターに保存されているほぼすべてのデータや、さまざまなウェブサイトを訪問中にアクセスされるデータへのアクセスを要求する拡張機能もあります。攻撃者は、これらの強化された権限を持つ拡張機能を悪用し、ウェブトラフィック、保存された認証情報、セッションクッキーなどの機密情報にアクセスすることができます。
比較的控えめな権限しか持たない拡張機能であっても、それらの権限を操作して、ユーザーの画面に表示されるすべてのウェブページの内部動作にアクセスできるようになる可能性があると、LayerXのCEO兼共同創設者であるOr Eshed氏は警告します。LayerXの調査によれば、企業ユーザーの53%が「高」または「重大」な権限範囲を持つ拡張機能をインストールしています。これが、ブラウザー拡張機能が脅威アクターによる悪用の主要な経路となっている理由だとEshed氏は付け加えます。
「[攻撃者は] データをコピーしたり書き換えたり、ウェブページの権限を悪用してさらに多くのアクセスを得たりすることができます」とEshed氏は述べています。
拡張機能の悪用に直接関連するセキュリティインシデントや侵害は数多く発生しています。昨年、Cyberhavenは、攻撃者が侵害された認証情報を使って、Facebook広告アカウントを標的とした悪意あるバージョンのCyberhaven拡張機能をGoogle Chrome Web Storeに公開したことを確認しました。この悪意ある拡張機能は、ユーザーID、トークン、アカウント情報などのデータを流出させていました。この攻撃は、Chrome拡張機能の開発者を標的としたより広範なキャンペーンの一部でした。
拡張機能のセキュリティとプライバシーに対する継続的な懸念から、LayerX Securityは最近、20,000以上のブラウザー拡張機能のセキュリティを評価できるようにする公開ブラウザー拡張機能リスクデータベース「ExtensionPedia」を公開しました。
三重の問題
問題は主に3つに集約されます。ユーザーの認識不足、広範な攻撃対象領域、そしてChrome、Edge、Firefoxの公式ストアで拡張機能を公開する際の参入障壁の低さです。Chrome Web Storeの拡張機能公開者の半数以上が匿名のGmailアカウントで特定され、79%は1つの拡張機能しか公開していないとEshed氏は説明します。これにより、責任の所在を特定するのが難しくなるだけでなく、実績を確立するのも困難です。
「ブラウザー拡張機能の脅威対象は…全員です」とEshed氏は述べます。「企業環境でさえ、99%のエンタープライズユーザーが少なくとも1つのブラウザー拡張機能をインストールしており、従業員の52%は10個以上の拡張機能を持っています。」
ブラウザー拡張機能が広く普及しているため、管理は難しくなります。多くの拡張機能は正当で生産性向上のために使われています。しかし、ユーザーや組織はセキュリティに注意し、悪意あるものを排除する必要があります。「これは特に企業環境において重要です。1人のユーザーのアクセス認証情報が盗まれると、企業全体の侵害につながる可能性があるからです」とEshed氏は警告します。
「私たちはブラウザーについて語らない」
ブラウザー拡張機能は常にセキュリティ上の問題をもたらしてきましたが、組織が主にSaaS(ソフトウェア・アズ・ア・サービス)モデルで運用するようになった現在、その問題はさらに拡大していると、DarkTraceのレッドチームオペレーションSVPであるJustin Fier氏は説明します。現在の労働者は、1日の大半をブラウザーで過ごしており、場合によってはブラウザー以外を使わないこともあります。そのため、機密データが日常的にブラウザーに保存されています。
「最近セッションハイジャックやID窃盗にこれほどまでに注目が集まる理由は、もはやドメインコントローラーに到達する必要がないからです」とFier氏は述べます。「もし正しい人物のエンドポイント、特にブラウザーにたどり着いて監視できれば、メール、Teams、Sharepointなど、さまざまな方向に横展開できますし、そこから他の人のSharepointフォルダーにも移動できます。」
攻撃者はまた、ブラウザーを利用して追加ツールの展開の足がかりを築くこともできます。ブラウザーは仕事や家庭生活の不可欠な一部となっていますが、攻撃者がウェブページから引き起こせる被害の大きさはしばしば忘れられているとFier氏は警告します。
「奇妙なことに、私たちは自分たちのブラウザーについて語ることがありません」と彼は言います。
リスク低減のためのポリシー施行
リスクを軽減するには、認識、教育、効果的なポリシーが不可欠です。業界は、フィッシングなどのメール経由の攻撃に対して行ってきたように、従業員への教育を行う必要があるとFier氏は推奨します。ブラウザーマーケットプレイスで注意すべき点についての教育もその一部です。正当な拡張機能と悪意ある拡張機能を見分けるのは難しいですが、ユーザーが取れる対策もあります。
「ブラウザーの可視性が最も難しい部分です」とFier氏は述べます。「Googleや他のマーケットプレイスを運営するエコシステムは、これらのパッケージが悪意あるものでないことをかなりしっかり確認していますが、できることには限界があります。第一歩は、信頼できるマーケットプレイスからダウンロードしていることを確認することです。」
しかし、ブラウザー拡張機能のリスク管理において最も重要なのは、ITレベルでのポリシー施行だと彼は推奨します。ポリシーが重要なのは、ブラウザーがユーザーの利便性のために拡張機能を同期する設計になっているからです。しかし、ユーザーが自宅で悪意ある拡張機能をダウンロードし、それを職場環境に持ち込むと問題になります。「これは企業環境を直接狙わなくても、企業環境に侵入する良い方法です」と彼は述べます。
リスク評価と対策の実施
組織は、ユーザーが拡張機能を安全に利用することに頼ることはできません。代わりに、どの端末のどのユーザーにどの拡張機能がインストールされているかを可視化し続ける必要があります。多くの組織は、ユーザーがどのブラウザーを使っているか、環境内にいくつの拡張機能が存在するか、拡張機能の脅威対象を積極的に管理していません。そのため、拡張機能の完全な監査が不可欠だとEshed氏は強調します。ここでリスク評価アプローチが有効です。
「リスク評価には、拡張機能に付与された権限だけでなく、公開者の評判も含めるべきです」と彼は付け加えます。
AIはリスクを助長するのか?
攻撃者がブラウザーに群がるのは、ユーザーが大半の時間をそこで過ごしているからであり、驚くことではありません。そして、悪意あるブラウザー拡張機能は初期アクセスを得るためのもう一つの手段を提供します。先週、LayerXは「悪意あるスリーパーエージェント拡張機能」と呼ばれる新たな研究を発表しました。これは「将来の利用」のために150万件のユーザー拡張機能にインストールされていました。
懸念すべきことですが、Fier氏は150万という数字は、マーケットプレイスのユーザーが数億人規模であることを考えると少ないと述べています。ブラウザー拡張機能による攻撃は一般的ですが、まだ大規模な著名インシデントは発生していません。AIがそれを変える可能性があります。
「今後、AIがどれほど関与するかを見るのは興味深いでしょう」とFier氏は述べます。「私のように今までブラウザー拡張機能を書いたことがない人でも、今やCopilotを使えばすぐに作成でき、そこから武器化するのも難しくありません。参入障壁は本当に下がったので、今後このような事例が増えると思います。」