出典:Tada Images(Shutterstock経由)
Google ChromeとMozilla Firefoxの両ブラウザが現在、それぞれ異なる攻撃を受けています。Chromeはゼロデイ脆弱性を悪用する攻撃者によるものであり、Firefoxはユーザーを積極的に侵害する悪意ある拡張機能のリストによるものです。
Googleは月曜日、今年発見された4件目の安定版チャンネルのアップデートを緊急リリースし、ゼロデイ脆弱性を修正しました。この脆弱性は、CVE-2025-6554として追跡されており、高度な深刻度の型混乱の脆弱性です。Googleのセキュリティアドバイザリによると、この脆弱性は攻撃者が任意のコードを実行できるもので、現在も悪用が進行中のため、直ちにパッチを適用する必要があります。
一方、45個の悪意あるFirefox拡張機能が、正規の暗号通貨ウォレットのアドオンを装い、Mozilla Firefoxユーザーを標的にしてクライアントデバイスを侵害しています。
これらの不正拡張機能は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxなどの信頼されたプラットフォームを模倣して作成されており、ユーザーのウォレットの秘密情報や認証情報を密かに盗み出します。これらの拡張機能を発見したKoi Securityのセキュリティ研究者Yuval Ronen氏によると、Koi Securityの製品であるExtensionTotalのチームは火曜日にブログ記事を公開し、同日中にDark Readingにも発見を知らせました。
これらの脅威は、インターネットの元祖ゲートウェイであり、今なお企業で最も利用されているクライアントサイドツールの一つであるWebブラウザの蔓延する不安定さと継続的な脆弱性の一例です。これらの脅威は企業環境の奥深くまで及び、ユーザーを標的にすることで攻撃者が従業員の認証情報や機密組織データにアクセスできる可能性があると、セキュリティ専門家は警告しています。
異なる脅威、同じクライアントサイドツール
Google Threat Analysis Group(TAG)の研究者Clément Lecigne氏はこの脆弱性を6月25日に発見し、Chromeチームは翌日に全プラットフォームへ設定変更を適用して対策しました。通常通り、Googleはほとんど詳細を明かしていません。同社はほとんどのユーザーがアップデートを適用するまで詳細を公開しないのが一般的です。
しかし、アプリケーションセキュリティ企業Intruceptのブログ記事は、ChromeのV8 JavaScriptエンジンで発見されたこの脆弱性がどのように悪用されるかについていくつかの情報を明らかにしています。「この脆弱性により、攻撃者はメモリの誤解釈を悪用し、任意のコードを実行できるため、ブラウザや基盤となるシステムが侵害される可能性があります」と記事は述べています。
実際、型混乱の脆弱性はメモリの問題であり、一般的にソフトウェアの誤動作を引き起こし、クラッシュやリモートコード実行(RCE)などの攻撃につながる可能性があります。
一方、悪意ある拡張機能は、Mozilla Add-onsストアで作成者がレビューを水増しすることで、ユーザーの間で偽の信頼性を築き、Firefoxユーザーを脅かしています。ExtensionTotalによると、偽のフィードバックで拡張機能の評価を人為的に高め、信頼できるように見せかけています。
ExtensionTotalはキャンペーンの背後にいる脅威アクターを特定していませんが、埋め込まれたコードコメントやC2(コマンド&コントロール)サーバーから取得したPDFファイル内のメタデータから、ロシア語話者の脅威アクターが関与している可能性が示唆されています。現在、7つの拡張機能がMozilla Add-onsストアで依然として稼働中だとRonen氏は述べています。
実際、ブラウザ拡張機能は生産性を高めることができますが、企業のセキュリティリスクが高まっていると、Perception PointのCTOであるTal Zamir氏は指摘しています。同氏は、パートナーであるSpin.aiが昨年発表した調査を引用し、50%以上のブラウザ拡張機能が高いセキュリティリスクを持つことが判明したと述べています。
「悪意ある拡張機能はパスワードを取得したり、ユーザーのオンライン活動を追跡したり、正規のウェブサイトに悪意あるコードを注入したりすることができます」とZamir氏は述べています。「さらに、正規の拡張機能であっても、セキュリティ上の脆弱性をもたらしたり、組織のポリシーと衝突する権限を要求したりする場合があります。」
ブラウザ脅威への対策方法
最新のChromeゼロデイによるリスクを軽減するため、GoogleはすべてのChromeユーザーに直ちにアップデートを適用することを推奨しています。WindowsおよびMacではバージョン38.0.7204.96/.97、Linuxではバージョン138.0.7204.96が今後数日から数週間かけて展開される予定です。
Googleは、進行中の攻撃でChromeのバグを急いで修正する歴史が長くあります。例えば3月には、APT(高度持続的脅威)グループがワンクリックのフィッシング攻撃で悪用していたサンドボックス脱出の脆弱性に対し、迅速な修正を提供しました。
そして、最新の悪意ある拡張機能はFirefoxユーザーを標的にしていますが、Googleも同様に危険な拡張機能をChromeストアから排除するのに苦戦しています。Firefoxや他のブラウザ用の悪意ある拡張機能を従業員が誤ってダウンロードするのを防ぐため、Koi SecurityのRonen氏は、組織が拡張機能を他のソフトウェアと同様に扱い、「許可リストを運用し、環境に導入する前に拡張機能をスキャンする」ことを推奨しています。
「一度きりのスキャンでは不十分です。なぜなら、拡張機能は自動更新され、動作が密かに変わることがあるからです」とRonen氏は警告します。「リスクのあるコード変更、所有権の移転、その他の侵害の兆候を検出するには、継続的な監視が不可欠です。」