Chromeの拡張機能を公開している開発者を狙った新たな詐欺が確認されています。
この詐欺は、公式らしい見た目の「著作権侵害による削除請求」というメールとして届きます。「あなたの拡張機能はChromeウェブストアから削除される予定です。異議申し立ては48時間以内に行ってください」という内容です。
さらに、個人に向けたメッセージのように見せる工夫も施されています。拡張機能のIDを「確認」のために入力すると、ページにその拡張機能の本物の名前とアイコンが表示されます。しかしこれはすべて、GoogleのユーザーネームとパスワードをGoogleを窃取するために設計されたフィッシング攻撃の一部です。
攻撃者が開発者アカウントへのアクセスを獲得した場合、拡張機能の乗っ取り、開発者リソースへのアクセス、さらには悪意のあるアップデートのユーザーへの配信といった被害が生じる可能性があります。
実際に何が起きているのか
Chrome拡張機能を公開している方は、著作権侵害を理由に拡張機能が削除されると警告するGoogleの公式通知を装ったページに遭遇することがあるかもしれません。
このページでは拡張機能のIDの入力を求め、入力後は本物の拡張機能の情報をクレーム番号やカウントダウンタイマーとともに表示します。そして、時間切れになる前にGoogleでサインインして異議申し立てを行うよう、強く促してきます。
これはすべて偽物です。このページはGoogleが運営するものではありません。クレームも期限もカウントダウンも、すべて作り話です。目的はただ一つ、詐欺師が管理する偽のサインインウィンドウにGoogleのユーザーネームとパスワードを入力させることです。
最も重要なルール:拡張機能に関する本物の警告は、ChromeウェブストアのデベロッパーダッシュボードLに表示されます。サードパーティのウェブサイトには表示されません。
詐欺師が開発者アカウントを狙う理由
Chrome拡張機能はユーザーのブラウザにアクセスでき、自動的に更新することも可能です。
攻撃者が開発者アカウントを掌握すれば、拡張機能の改ざん、開発者リソースへのアクセス、既存ユーザーへの悪意あるアップデートの配信といった行為が可能になる恐れがあります。
これが開発者アカウントを非常に魅力的な標的にしている理由であり、このような詐欺が後を絶たない理由でもあります。
詐欺ページの見た目
このページはGoogleとは一切関係のないドメインにホストされています。今回分析したバージョンでは、dmca-chrome-extensions[.]click というアドレスが使用されていました。
それにもかかわらず、Googleのブランドを使用し、「Chromeウェブストア デベロッパーポリシーセンター」として自らを提示しています。
ページはまず、拡張機能のリンクまたはIDの入力を求めます。一見無害に見えるからこそ、この手口は効果的なのです。
本物の拡張機能情報を悪用した説得力の演出
拡張機能のIDを入力すると、ページは短時間「拡張機能を検索中…」と表示した後、本物の拡張機能情報を使って偽のテイクダウン通知を作り上げます。
Malwarebytes Browser Guardを使って検証したところ、偽のクレームとともに本物の拡張機能名、アイコン、Chromeウェブストアのリスト情報が表示されました。
このサイトは、拡張機能のChromeウェブストアページから公開情報を取得しているにすぎません。その情報は誰でも閲覧できます。詐欺師たちはそれを利用して、偽の通知をいかにも本物らしく見せているのです。
それ以外の要素はすべて作り物です。
クレーム番号、「受付日」、48時間の期限、カウントダウンタイマー、そしてイベントのタイムラインは、すべて詐欺ページ自身が生成したものです。
カウントダウンで焦らせる手口
赤い警告バナーには「48時間以内に対処しなければ拡張機能は永久に削除されます」と表示され、秒単位でカウントダウンが進みます。ページ全体のデザインは、「Googleでサインインして本人確認を行い、異議申し立てをする」というボタンへユーザーを誘導するように設計されています。
この焦燥感は、クレームの真偽を確かめる前に反射的に行動させるためのプレッシャーとして機能しています。
偽のサインインウィンドウ
「確認に進む」をクリックすると、タイトルバー、南京錠のアイコン、そして accounts.google.com と表示されたアドレスバーを持つGoogleサインインウィンドウが現れます。
本物そっくりですが、偽物です。
この「ウィンドウ」は実際にはウェブページの一部です。南京錠のアイコンとアドレスは、本物のブラウザウィンドウのように見せるためのグラフィックにすぎません。
詐欺師たちはさらに、OSに合わせた外観を再現しています。macOSではMacスタイルのウィンドウ、Windowsデバイスではウィンドウスタイルのウィンドウを表示します。
この偽サインインフォームに入力した内容は、すべて直接詐欺師に送信されます。
見破る手がかりの一つは、このウィンドウがブラウザのページ外に出られないことです。画面の端にドラッグしようとすると、ブラウザの境界で止まります。ブラウザを最小化すると、ウィンドウも一緒に消えてしまいます。
最も重要なのは、ブラウザの本物のアドレスバーにはGoogleではなく詐欺サイトのアドレスが表示されていることです。
身を守るための対策
いくつかの簡単な習慣を身につけるだけで、この詐欺を回避できます。
- リンクを信用しない。拡張機能に関する警告を受け取った場合は、ChromeウェブストアのデベロッパーダッシュボードGに直接アクセスして確認してください。
- 焦りを促す表現に疑いを持つ。正規のポリシー手続きは、カウントダウンで即座の行動を強制しません。
- アドレスバーを確認する。本物のGoogleサインインページは、ブラウザの実際のアドレスバーに accounts.google.com と表示されます。
- ウィンドウを試す。サインインウィンドウがブラウザの外にドラッグできない、またはブラウザの最小化とともに消える場合は、偽物の可能性が高いです。
- 強力なサインイン保護を有効にする。パスキーやハードウェアセキュリティキーを使用することで、パスワードが盗まれても攻撃者に悪用されにくくなります。
- フィッシング対策・ウェブ保護機能付きのセキュリティソフトを使用する。Browser Guard(Malwarebytes Premiumにも含まれています)は、個人情報を入力する前に悪意のあるウェブサイトやフィッシングページをブロックするのに役立ちます。
これは粗雑なフィッシングページではありません。本物の拡張機能の詳細情報を活用し、Googleのブランドを模倣し、説得力のある緊迫感を演出しています。
拡張機能に関する警告を受け取っても、リンクをクリックしたりカウントダウンに焦らされたりしないでください。Chromeウェブストアのデベロッパーダッシュボードに直接アクセスして、クレームの真偽を確認してください。
少しでも不審に思ったら、タブを閉じましょう。
すでに情報を入力してしまった場合
すぐに行動してください。
- 信頼できるデバイスからGoogleパスワードを今すぐ変更する。
- Googleアカウントのセキュリティ設定から、すべてのアクティブなセッションをサインアウトする。
- 連携しているアプリやデバイスを確認し、身に覚えのないものがないか調べる。
- 2段階認証を有効にする(パスキーまたはセキュリティキーの使用を推奨)。
- Chromeウェブストアのリストを確認し、自分が公開していない変更、アップロード、または新バージョンがないか確かめる。
侵害の痕跡(IOC)
ドメイン
dmca-chrome-extensions[.]click
脅威が被害をもたらす前に食い止めましょう。
Malwarebytes Browser Guardは、フィッシングページや悪意のあるサイトを自動でブロックします。無料で、ワンクリックでインストールできます。ブラウザに追加する →
