認証済み、特集、そして悪質：RedDirectionキャンペーンが明らかにしたブラウザマーケットプレイスの失敗

広範囲にわたるブラウザハイジャックキャンペーンが、Google ChromeとMicrosoft Edgeで利用可能だった18の悪質な拡張機能を通じて、230万人以上のユーザーに感染しました。

Koi Securityの研究者によって「RedDirection」と名付けられたこの作戦は、認証バッジや高評価、特集掲載といった信頼指標を悪用し、両ブラウザエコシステムで発見を免れていました。

Koiの研究者は、この作戦をこれまでに見た中で最大級のブラウザベースのマルウェアキャンペーンの一つだと述べています。

特定された拡張機能の中で、「Color Picker, Eyedropper — Geco colorpick」は、10万回以上のインストール、800件を超える高評価レビュー、Chromeウェブストアでの認証済みステータスを持ち、特に注目されました。その正当な外観と機能的なユーザーインターフェースにもかかわらず、この拡張機能は閲覧活動を記録し、データをリモートサーバーに送信していることが判明しました。

他の拡張機能も、絵文字キーボードや天気予報、VPNプロキシ、ダークテーマ、音量ブースターなど多様な機能を提供していましたが、いずれもコード内に類似した監視やハイジャック機能を隠し持っていました。

「これは週末に急ごしらえされた明らかな詐欺拡張機能ではありません」と、Koi Securityの研究者Idan Dardikman氏はマルウェア感染拡張機能に関するブログ投稿で述べています。「これは、約束通りの機能を提供しながら、同時にブラウザをハイジャックし、訪問したすべてのウェブサイトを追跡し、持続的なコマンド＆コントロールのバックドアを維持する、精巧に作られたトロイの木馬です。」

拡張機能のアップデートを通じて展開された悪質なコード

Koiの研究者によると、ほとんどの悪質な拡張機能は最初に公開された時点では有害ではありませんでした。代わりに、バージョンアップデートを通じて後から危険なものとなり、この手法によって長期間発見されずに活動できたといいます。

「GoogleとMicrosoftがブラウザ拡張機能のアップデートをどのように扱っているかのため、これらの悪質なバージョンは両プラットフォームで230万人以上のユーザーに自動的かつ静かにインストールされました——ほとんどのユーザーは何もクリックしていません」とDardikman氏は投稿で述べています。

研究者たちは、この事件がブラウザエコシステム内でのサプライチェーンの危険性を浮き彫りにしていると述べています。「ユーザーの安全を確保するための仕組み——認証済みステータス、特集掲載、シームレスなアップデート——が、結果的にマルウェアの拡散を助長してしまいました」と彼は付け加えました。

Googleの広報担当者は「Chromeウェブストア上のすべての拡張機能が削除されたことを確認できます」と述べました。Microsoftはこの件についてコメントしませんでした。

Everest Groupのプラクティスディレクター、Arjun Chauhan氏は、このキャンペーンが攻撃者の戦略の変化を反映していると述べています。「従来のサプライチェーン攻撃がバックエンドシステムを標的にしていたのに対し、このキャンペーンはユーザーが日常的に信頼するツール——ブラウザ拡張機能——に侵入しました。悪質なコードの遅延発動は、企業のセキュリティモデルに重大なギャップがあることを浮き彫りにしています。」

彼は、初期審査だけではもはや十分ではないと指摘します。「組織はブラウザ拡張機能の継続的な監視、厳格な権限管理の実施、そして一見信頼できるツールに潜むリスクについて従業員を教育する必要があります。ブラウザ拡張機能に対してゼロトラストアプローチを採用することが今や不可欠です。」

ブラウザハイジャックとフィッシングのリスク

研究によると、悪質なコードは各拡張機能のバックグラウンドサービスワーカーに埋め込まれており、ブラウザAPIを利用してタブのアクティビティを監視していました。取得されたデータ（URLやユニークなトラッキングIDなど）は攻撃者が管理するサーバーに送信され、そこからリダイレクト指示が提供されていました。

この仕組みにより、フィッシングページへのリダイレクト、クローンログインサイトを使った銀行認証情報の窃取、ハイジャックされた会議招待を通じた偽アップデートの表示など、複数の攻撃シナリオが可能となっていました。

「18種類の拡張機能を通じて230万人のユーザーが監視下に置かれていることで、このキャンペーンはいつでも悪用可能な大規模かつ持続的な中間者攻撃の能力を生み出しています」とDardikman氏は述べています。

プラットフォームをまたぐ集中型インフラ

このキャンペーンはChromeとEdgeの両方にまたがっており、各拡張機能は独自のコマンド＆コントロール用サブドメインにリンクされて、別々の攻撃者がいるかのように見せかけていました。研究者たちは、すべての拡張機能が最終的には単一の協調ネットワークに接続されていたと指摘しています。

いくつかの拡張機能は両マーケットプレイスで特集や認証済みステータスも獲得しており、プラットフォーム側の審査プロセスへの懸念がさらに高まっています。

Koi Securityは、影響を受けたユーザーに対し、直ちに拡張機能をアンインストールし、トラッキング識別子を削除するためにブラウザデータを消去し、完全なマルウェアスキャンを実行し、オンラインアカウントの異常な活動を監視することを推奨しています。インストール済み拡張機能の全面的な見直しも勧められています。

既知の悪質な拡張機能には、「Color Picker, Eyedropper — Geco colorpick」「VPN Proxy to Unblock Discord Anywhere」「Emoji keyboard online — copy&paste your emoji」「Free Weather Forecast」「Unlock Discord」「Dark Theme — Dark Reader for Chrome」「Volume Max — Ultimate Sound Booster」「Unblock TikTok — Seamless Access with One-Click Proxy」「Unlock YouTube VPN」「Unlock TikTok」「Weather」などがあります。

マーケットプレイスの隙間と長期的リスク

この事件は、ブラウザ拡張機能のガバナンスにおける体系的な弱点を浮き彫りにしています。GoogleとMicrosoftの認証プロセスは、いくつかの拡張機能がプロモーション掲載や信頼バッジを受けていたにもかかわらず、マルウェアを検出できませんでした。

「攻撃者は、ユーザーが頼りにするあらゆる信頼のシグナル——認証バッジ、インストール数、特集掲載、長年の正当な運用、好意的なレビュー——を巧みに悪用しました」とDardikman氏は述べています。「これらの信頼性の仕組みが、ユーザーに対して逆手に取られたのです。」

Chauhan氏は、プラットフォームレベルでの変革が必要だと付け加えています。「静的解析や手動審査だけでは、今日の脅威に対応できません。同様のキャンペーンを防ぐため、GoogleとMicrosoftは動的解析、リアルタイム拡張機能監視、より透明性の高いアップデートプロセスに投資する必要があります。これらの分野を強化することが、ユーザーの信頼を回復するために不可欠です。」

より広範なセキュリティへの警鐘

研究者たちは、このキャンペーンをブラウザセキュリティの転換点と位置付けています。短期的な攻撃に頼るのではなく、RedDirectionの背後にいる脅威者は、長期間にわたって検知を逃れるための忍耐強いインフラを構築し、数年後にマルウェアを発動させることができました。

タイミングも注目に値します。このキャンペーンの露見は、MITREが「IDE拡張機能」をATT&CKフレームワークの新たなカテゴリとして追加し、サードパーティソフトウェアエコシステム内の脅威の拡大に注目を集めた直後に起こりました。