出典:Qubix Studio(Shutterstock経由)
Googleは、正規のChrome拡張機能に隠された悪意のあるリダイレクトによってブラウザセッションを乗っ取る高度なスパイウェアを、意図せず宣伝していました。この拡張機能は正規のカラーピッカーを提供していますが、6月末のアップデートでマルウェアに汚染されました。
「Color Picker, Eyedropper — Geco colorpick」と呼ばれるこの拡張機能は、10万回以上ダウンロードされており、Googleの認証バッジが付与され、Google Chromeウェブストアで注目機能として掲載されています。長年にわたり正規の拡張機能だったためストアで高い地位を得ていましたが、6月27日に悪意のあるアップデートを受け取るまではそうでした、とKoi SecurityのIdan Dardikman氏はDark Readingに語っています。
ストアのリストによると、この拡張機能はウェブページをデザインする人々が「どのウェブサイトからでも簡単に色を取得できる」ようにし、「すべての要素のHEXおよびRGBカラ―コードを提供」します。
しかし、Dardikman氏によれば「最新バージョンで悪質化」しており、拡張機能が依然としてGoogleによって認証されているように見えるため、ユーザーにとって大きな脅威となっています。さらに、プライバシーポリシーには「ユーザーに関するいかなるデータも収集しません」と明記されていますが、本日公開されたDardikman氏のブログ記事によると「我々の分析では、これは全くの虚偽です」と述べています。
実際、この汚染された拡張機能は、巧妙な脅威アクターが人々が頼りにしている信頼のシグナルをどのように悪用しているかを示しています。「たとえ[誰かが]信頼できる拡張機能をきちんと調査したとしても、すべての拡張機能はいつでも悪意のあるものに変わり得る」とDardikman氏はDark Readingに語っています。
Chromeストアで依然として入手可能
Koi Securityの研究者は、スパイウェアが拡張機能に仕込まれたその日に発見しましたが、拡張機能は約束された機能を提供しつつ、密かにユーザーを追跡し続けています。スパイウェアはユーザーのブラウザを乗っ取り、訪問したすべてのウェブサイトを追跡し、持続的なコマンド&コントロール(C2)接続を維持します、とDardikman氏の投稿に記されています。
「このマルウェアは、あなたが新しいページに移動するたびに起動する高度なブラウザ乗っ取りメカニズムを実装しています」とDardikman氏は投稿で述べています。「拡張機能のバックグラウンドサービスワーカー内に隠されたコードが、すべてのタブのアクティビティを監視しています。」
Koi Securityは、この拡張機能に潜むスパイウェアについてGoogleに通知しましたが、執筆時点ではChromeストアに残ったままです。Googleはまだ通知に対応していないと、Dardikman氏はDark Readingに語っています。
Googleは月曜日、コメントの要請に即時応じませんでした。
ダウンロードからスパイウェア化までの複数ステップ
拡張機能をダウンロードすると、ユーザーの疑念をほとんど招かない複数ページにわたる攻撃フローが始まります。このプロセスでは、見た目も機能も期待通りの正規かつ認証済みのカラーピッカーがインストールされます。拡張機能が提供する機能には、スクリーンショットベースの色選択、9×9ピクセルグリッドのプレビュー、クリップボード連携、キーボードショートカット、プロフェッショナルなユーザーインターフェースが含まれます。
この機能は「悪意あるバックグラウンド動作の完璧なカバーとなっています」とDardikman氏は投稿で述べています。「ユーザーはカラーピッカーに期待する通りのものを手に入れるため、悪意のあることが起きているとは疑いにくいのです。」
しかし、拡張機能が期待通りに動作し始めると同時に、バックグラウンドで悪意のあるサービスワーカーが密かに起動し、すべてのブラウジングアクティビティの監視を開始します。これが起こると、ユーザーが訪問するすべてのURLが追跡ID付きでC2サーバーに送信され、拡張機能はサーバーからリダイレクト指示を受け取ることができます。このようにして、指示があればユーザーを悪意のあるサイトへリダイレクトすることができると投稿には記されています。
さらなるブラウザセキュリティが必要
悪意のある拡張機能は、Chromeだけでなく、Mozilla Firefoxや、WordPressなどのコンテンツ開発・管理プラットフォームにとっても、継続的な問題となっています。実際、昨年Spin.aiが発表した調査によれば、ブラウザ拡張機能の50%以上が高いセキュリティリスクを持つことが判明しています。
拡張機能は、特に個人・企業ユーザーの両方がソフトウェア・アズ・ア・サービス(SaaS)へ移行する中で、Webを閲覧するすべての人にとって危険であると悪名が高まっていますが、適切なセキュリティ対策を講じることで脅威は管理可能だと、研究者らは最近Dark Readingに語っています。
この悪意のあるカラーピッカーの場合、Koiは利用者に対し、直ちに拡張機能をChromeから削除し、保存された追跡識別子を削除するためにブラウザデータをクリアし、追加感染の有無を確認するためにシステム全体のマルウェアスキャンを実施し、機密性の高いサイトを訪問していた場合はアカウントの不審な活動を監視し、他のインストール済み拡張機能にも同様の不審な挙動がないか確認することを推奨しています。
Googleの審査プロセスを通過し、注目機能として掲載されたスパイウェアの発見は、「組織がブラウザ拡張機能に対して適切なガバナンスとセキュリティ管理を実装することの重要性」を改めて示すものだとDardikman氏は記し、「その拡張機能が見かけ上どれほど正規であったり、マーケットプレイスで高い地位にあったりしても、それは変わりません」と述べています。