- McAfeeは、Google Notesを装って暗号資産の取引をひそかに乗っ取る悪質なChromium拡張機能「Silent Swap」を報告しています
- この拡張機能はクリップボードジャッカーとして動作し、コピーされたウォレットアドレスを攻撃者が管理するものにすり替えることで、被害者は気づかないまま犯罪者に資金を送金してしまいます
- 研究者は、送金前に必ずウォレットの文字列全体を照合するよう勧めています。攻撃者はわずか数文字だけ異なるそっくりなアドレスを作成できるためです
研究者らは、人々が汗水流して稼いだ暗号資産を盗むことだけを目的に作られた、Chromiumベースブラウザ向けの新たな拡張機能をまたも発見しました。
McAfeeが発表したレポートは、一見無害なGoogle Notes拡張機能の中に潜む「Silent Swap」というマルウェアに警鐘を鳴らしています。
この拡張機能を見つけてダウンロードしてしまった被害者(フィッシングやソーシャルエンジニアリング、怪しいフォーラムやウェブサイト経由である可能性が高いです)は、一見すると想定通りに動作する拡張機能を手に入れることになります。小さなウィンドウが表示され、被害者はメモを入力して保存できます。メモには色分けを付けられ、保存したメモを検索することもできます。しかし、これらの機能はすべて、暗号資産を盗むという本当の目的を隠すためだけに作られたものです。
クリップボードの乗っ取り
Silent Swapは典型的なクリップボードジャッカーとして動作します。暗号資産ウォレットらしき文字列、つまり一見ランダムに見える26〜42文字の英数字の並びがないか、クリップボードを常に監視しています。
そのような文字列を見つけると、攻撃者が用意した別のアドレスに置き換えます。そのため被害者が資金を送るためにウォレットへアドレスを貼り付けると、実際には攻撃者のアドレスに送金してしまうことになります。
この手口が成立するのは、暗号資産ウォレットのアドレスが到底覚えられるものではなく、かといって紙や別の文書から手入力するのはリスクが高すぎるため、利用者がコピー&ペーストに頼らざるを得ないからです。
被害者がいったん資金を送ってしまうと、まず間違いなく取り戻すことはできません。取り戻せる可能性があるのは、資金が(たとえばCoinbaseのような)中央集権型取引所から送られた場合で、なおかつ被害者が攻撃に十分早く気づいた場合に限られ、その際は取引所のサポートに連絡して取引の凍結を依頼することになります。それ以外のケースでは、送金されてしまえばそれきりです。
この種の攻撃から身を守る最善の方法は、送信ボタンを押す前に文字列を照合することです。中には最初と最後の数文字だけを確認する人もいますが、セキュリティ研究者はこれを推奨していません。クリップボードジャッカーの中には、わずか数文字だけ異なるアドレスを生成できるものがあるためです。