悪意のあるGoogle Chrome拡張機能:サイバーセキュリティ脅威の徹底分析
サイバーセキュリティ研究者は最近、Google Chromeのエコシステム内における憂慮すべき脅威を明らかにした。正規ツールを装いながらユーザーの通信を傍受し、個人情報を盗み取る2つの悪意ある拡張機能である。いずれも同一の主体によって開発され、「Phantom Shuttle」という同名で提供されており、オンライン体験の向上を期待する無警戒なユーザーにとって重大なリスクとなっている。
拡張機能の概要
Phantom Shuttleの詳細
Phantom Shuttleには2つのバリエーションがあり、現在いずれもダウンロード可能で、それぞれ異なるユーザーベースを示している:
- Phantom Shuttle(ID: fbfldogmkadejddihifklefknmikncaj):約2,000ユーザー;2017年11月26日に公開。
- Phantom Shuttle(ID: ocpcmfmiidofonkbodpdhgddhlcmcofd):約180ユーザー;2023年4月27日に公開。
これらの拡張機能は「複数拠点ネットワーク速度テストのプラグイン」として販売され、表向きは開発者や国際トレーダー向けに最適化されているとされる。しかし、この見せかけの裏には悪意が潜んでいる。
サブスクリプションモデルによる欺瞞
Socketのセキュリティ研究者Kush Pandyaによれば、ユーザーは月額¥9.9〜¥95.9人民元(約1.40〜13.50米ドル)のサブスクリプション料金を支払い、正規の仮想プライベートネットワーク(VPN)サービスを利用できると信じている。だが実際には、両拡張機能は通信の傍受や認証情報の窃取など、有害な動作を実行する。
悪意ある動作
通信傍受の手法
支払い後、ユーザーは「VIPステータス」を獲得し、いわゆる「smarty」プロキシモードが自動的に有効化される。この設計により、170以上の標的ドメインに向かう通信が、コマンド&コントロール(C2)インフラを介して中継される。注目すべき点として、拡張機能は実際にレイテンシテストを実行し接続状態を表示する一方で、密かにユーザーの認証情報を収集し、真の性質を隠蔽している。
この動作は、拡張機能に組み込まれた2つの改変済みJavaScriptライブラリ、具体的にはjquery-1.12.2.min.jsとscripts.jsに依存している。悪意あるコードは、ハードコードされたプロキシ認証情報(topfany / 963852wei)を、訪問したすべてのWebサイトにおけるあらゆるHTTP認証プロンプトへ注入する。これを理解することで、拡張機能がどのように偽装しつつユーザーの安全を損なっているかが明らかになる。
認証情報窃取の仕組み
Pandyaは、拡張機能がchrome.webRequest.onAuthRequiredを介したリスナーを使用していると説明した。このリスナーは、サイトがHTTP認証を要求するたびに即座に応答し、ユーザーが進行中の脅威に気づかないようにする。処理は滑らかで自動的であり、ユーザー操作は不要である。
プロキシサーバーが認証されると、これらの拡張機能はProxy Auto-Configuration(PAC)スクリプトを通じてChromeのプロキシ設定を変更し、次の3つの動作モードのいずれかを起動する:
- Close:プロキシ機能を無効化する。
- Always:すべてのWeb通信をプロキシ経由にする。
- Smarty:事前に定められた170以上の高価値ドメインのリストのみをプロキシ経由にする。
悪意あるリストには、GitHubのような著名な開発者向けプラットフォーム、Facebookのようなソーシャルメディアサイト、そして機微なクラウドサービスが含まれる。興味深いことに、アダルトコンテンツサイトの含有は、恐喝の可能性など別の目的を示唆しているかもしれない。
継続的なデータ流出
この活動は持続的であり、現在も稼働しているphantomshuttle[.]spaceのC2サーバーとハートビート通信を維持する。このハートビートにより、攻撃者は「中間者」(MitM)の位置を得て、ユーザー通信を傍受・改ざんし、さらにはデータを注入することさえ可能になる。
さらに憂慮すべきなのは、このハートビートが、メールアドレス、平文パスワード、バージョン番号などの機微なユーザー情報を、5分ごとに外部サーバーへ送信している点である。この仕組みにより、ユーザーセッションの継続的な窃取と監視が可能になる。
より広範な影響
これらの拡張機能は重要なユーザーデータを吸い上げるだけでなく、パスワードやAPIキーを含むさまざまな機微情報も標的にしている。さらに、盗まれた開発者のシークレットは、より広範なサプライチェーン攻撃につながる可能性があり、今日のデジタル環境において危険性が増大している。
首謀者の身元は不明のままだが、拡張機能の説明に中国語が使われていること、AlipayおよびWeChat Payによる決済連携、そしてC2ドメインがAlibaba Cloud上でホスティングされていることから、中国拠点の活動を示唆する兆候がある。
ユーザーの注意点と組織の対応
サブスクリプションモデルは被害者を実質的に引き留め、信頼性があるかのような外観を作り出す。ユーザーが知らぬ間に通信の侵害を許してしまうため、サイバーセキュリティチームは警戒を怠ってはならない。これらの拡張機能をインストールしている人は、直ちに削除することが強く推奨される。
組織にとっては、拡張機能の許可リスト運用、疑わしいプロキシ活動の監視、厳格なネットワーク監視の維持が、この種の脅威に伴うリスクを軽減するための重要な手段となる。今回の調査結果は、ブラウザ拡張機能に結びついた地下的リスクの増大を浮き彫りにし、能動的なサイバーセキュリティ対策の必要性を改めて示している。
