Chrome ウェブストアの著作権警告を偽装してGoogleアカウントを狙うフィッシング攻撃

ハッカーがChrome拡張機能の開発者を標的に、巧妙なフィッシングキャンペーンを展開しています。このキャンペーンでは、Chrome ウェブストアの公式著作権侵害通知を装い、Googleアカウントの認証情報を窃取することで、広く利用されているブラウザ拡張機能を不正に乗っ取ることを狙っています。

被害者には「48時間以内に対応しなければ、拡張機能が永久に削除される」と告げられます。このメッセージは非常に個人に寄り添った内容となっており、攻撃者が管理するインフラ(例:dmca-chrome-extensions[.]click のようなドメイン)上に設置された偽の「Chrome ウェブストア デベロッパー ポリシーセンター」へと誘導します。

フィッシングページに誘導された開発者は、申し立て内容を「確認」するために拡張機能のIDまたは掲載URLの入力を求められます。この手順は一見無害に見えるため、被害者の疑念を払拭するよう設計されています。

しかし、このサイトはChrome ウェブストアから公開メタデータ(拡張機能の正式名称、アイコン、掲載情報など)を動的に取得し、捏造した削除通知に組み込みます。これにより、警告が正規のものであり、まさに被害者宛に送られたように見せかけます。

ページには苦情番号、申請日、詳細な違反タイムラインといった偽の要素も生成されます。さらに目立つカウントダウンタイマーが緊迫感を演出し、開発者を急いで行動させるよう誘導します。

この心理的操作こそが攻撃の核心であり、被害者が公式チャネルで申し立てを確認する可能性を低下させます。

Image

攻撃の最終段階では、Googleの偽ログイン画面が表示されます。「確認に進む」をクリックすると、南京錠アイコンや accounts.google.com のアドレスなどのブランド要素を備えたリアルなログインウィンドウが出現します。

Malwarebytesがレポートを通じてGBhackersに明らかにしたところによると、攻撃はまず「著作権侵害を理由に開発者の拡張機能が削除される」という説得力のある「著作権削除要請」から始まります。

ただし、このウィンドウは本物の認証プロンプトではありません。悪意あるページに埋め込まれたものであり、すべての視覚的要素は正規のブラウザセッションを模倣するための画像に過ぎません。

注目すべき点として、この偽ログインウィンドウはブラウザのフレーム外に移動できず、ブラウザを最小化すると消えてしまいます。

一方、実際のブラウザのアドレスバーには、正規のGoogle URLではなくフィッシングドメインが表示され続けています。この画面に入力した認証情報は、即座に攻撃者に送信されます。

開発者アカウントが侵害された場合、深刻なリスクが生じます。Chrome拡張機能は広範な権限を持つことが多く、ユーザー環境に対して自動的に更新が配布されます。

「確認に進む」をクリックすると、タイトルバー、南京錠、そして accounts.google.com のアドレスが表示されたGoogle ログインウィンドウが出現します。

Image

攻撃者がアクセス権を取得した場合、既存の拡張機能への悪意あるコードの注入、トロイの木馬化されたアップデートの配布、機密性の高い開発者リソースへの不正アクセスなどが行われる恐れがあります。これにより、数千人から数百万人ものユーザーに影響を及ぼし得る、拡張性の高い攻撃経路が生まれます。

今回のキャンペーンは、YouTubeやGitHubなどのプラットフォームを悪用して信頼されたアカウントを乗っ取る、これまでのフィッシング攻撃と同様に、開発者エコシステムを標的にするという広範なトレンドを反映しています。

Googleはサードパーティのウェブサイトを通じてポリシー執行通知を発行することはありません。正規の警告や執行措置は、Chrome ウェブストアのデベロッパーダッシュボード内で直接通知されます。

このような申し立てへの対応として認証情報の入力を求める外部サイトは、不審なものとして扱うべきです。

セキュリティ研究者は複数の防御策を強調しています。開発者はリンクをたどるのではなく、常に公式ダッシュボードで直接アラートを確認すべきです。

ブラウザのアドレスバーを注意深く確認することも引き続き重要です。正規のGoogle認証ページは必ず accounts.google.com ドメイン上に表示されます。また、パスキーやハードウェアセキュリティキーなどの強力な認証方法を有効にすることで、認証情報の盗難による被害を大幅に軽減できます。

侵害が疑われる場合は、直ちにGoogleアカウントのパスワードをリセットし、アクティブなセッションを取り消して、不正な変更がないかアカウントの活動履歴を確認してください。また、拡張機能の掲載情報についても、予期しない更新や変更がないか監査する必要があります。

今回のフィッシングキャンペーンは、高度なソーシャルエンジニアリング技術を駆使しており、リアルタイムのデータ収集と巧みな視覚的欺瞞を組み合わせています。

公開されている拡張機能データを活用し、緊迫感を煽る手法を駆使することで、攻撃者はセキュリティ意識の高いユーザーに対しても成功率を高めています。

翻訳元: https://gbhackers.com/fake-chrome-web-store-copyright/

ソース: gbhackers.com