「SearchJackキャンペーン」と名付けられた大規模な不正活動が明らかになりました。ユーザーのデフォルト検索エンジンを密かに書き換える悪質なChromeブラウザ拡張機能が、合計23本にのぼることが判明しています。
IntCyberDigestの最新レポートによると、これらの拡張機能は実際の検索結果をユーザーに返す前に、収益化のためのミドルウェアを経由して検索クエリを転送していることが確認されています。
この不正キャンペーンは現在、約75万8,000人のユーザーに影響を及ぼしています。少なくとも8つの異なる収益化ブローカーと22の独立したパブリッシャーが関与しているとされています。
これらの悪意ある拡張機能の主な目的は、巧みに偽装した手法を用いて検索アフィリエイト収益を得ることにあります。
各拡張機能は、衛星画像ツールや生産性向上ツール、ニュースリーダー、地図サービスなど、まったく異なる機能を前面に打ち出しています。しかし実態は、いずれも検索アフィリエイト収益化に特化した隠れた仕組みに過ぎません。
セキュリティ研究者たちは「MalExt Sentry」という自動スキャナーを活用し、ブラウザ拡張機能ストアを継続的に監視。特定のキーワードやメタデータをもとに不審な拡張機能を検出しています。
この自動スキャナーは、拡張機能のマニフェストファイル内にある「Chrome設定オーバーライドキー」を悪用しているものを特定しました。これが、ユーザーの検索設定を乗っ取る主要な手法となっています。
この大規模キャンペーンの構造的な基盤は、ブローカー層に大きく依存しています。これにより、個々のブラウザ拡張機能は使い捨て可能なシェルとして機能します。
セキュリティアナリストによれば、ブローカーとの関係、パートナーアカウント、そして収益基盤は、被害者のマシンにどの拡張機能がインストールされているかに関わらず維持され続けるとのことです。
これらのブローカーは、最終的なリダイレクトURLに隠された特定のパラメーターによって識別できます。ブローカーは匿名の運営者が転送された検索トラフィックから多大な利益を得られるよう、ネットワーク全体を管理しています。
運営者自身は拡張機能にブランド名を付けないため、ブローカー識別パラメーターだけが彼らの正体が浮かび上がる唯一の手がかりとなっています。
いくつかの代表的な拡張機能は、脅威アクターによる巧みな欺瞞の手口を示しています。「Nautilus Search」拡張機能は、ストアの説明欄において「検索を追跡しない」と明確に虚偽のプライバシー主張を行っています。
一方で、その実際のプライバシーポリシーにはIPアドレスと検索クエリの収集が明記されています。より技術的に巧妙なアプローチとして、「Search Toggler」拡張機能はランタイム難読化を実装し、その真の挙動を隠蔽しています。
静的な拡張機能パッケージにルーティングロジックを組み込むのではなく、動的なネットワークルールを通じて実行時に注入する仕組みとなっています。これにより、実際の悪意ある動作が標準的な静的解析ツールからは完全に見えないようになっています。
さらに「Fusebase Search」のような拡張機能では、レビューの比率に著しい異常が見られます。MalExtによると、ユーザーをだましてソフトウェアをダウンロードさせるためにレビューが大規模に操作されていると見られています。
SearchJackキャンペーンの全体的なパターンから、ブラウザハイジャックに対して高度に構造化されたアプローチが取られていることが明らかになっています。
多くの拡張機能は、マニフェストのみで構成されたラッパーとして機能しており、表面的な機能を口実にインストールを誘導するトロイの木馬的手法を採用しています。
さらに、特定のブローカーと提携した拡張機能は、共通のバックエンドインフラテンプレートを通じてトラフィックを一貫して転送しており、脅威の状況全体にわたって高度に組織化された活動であることが証明されています。
このキャンペーンは一見、単純なアドウェアのように見えるかもしれません。しかし脅威インテリジェンスの専門家たちは、深刻なセキュリティリスクであり、大規模なプライバシー侵害に当たると警告しています。
被害者が行うすべての検索クエリは、明示的な同意を得ることなく、匿名の第三者ブローカーへ直接送信されています。
翻訳元: https://cyberpress.org/chrome-extensions-hijack-searches/
