- 悪意あるGoogle Chrome拡張機能「Phantom Shuttle」が、攻撃者が管理するプロキシを介して密かにトラフィックを迂回させていた
- 拡張機能は中国のユーザーを標的にし、170の高価値ドメインから認証情報を収集していた
- Googleはプラグインを削除。専門家は、ブラウザのアドオンが依然として大きなセキュリティリスクであると警告
セキュリティ研究者は最近、Google Chromeブラウザ向けの2つの拡張機能が、侵害されたプロキシを経由して価値の高いトラフィックを迂回させ、その結果、機密情報を悪意ある第三者と共有していたことを発見した。
Socketは、Chromeウェブストアで「Phantom Shuttle」という名称の2つの拡張機能を見つけたと述べた。表向きはプロキシサービス用のプラグインとして宣伝されており、ユーザーがトラフィックをプロキシ経由にしたりネットワーク速度をテストしたりできるもので、主に中国のユーザー、たとえば国内の異なる場所からの接続性をテストする必要がある対外貿易従事者などを対象としていた。
これらのプラグインは2017年にストアへ最初にアップロードされ、月額1.40ドルから13.60ドルのサブスクリプションという価格設定まであった。
リポジトリから削除
しかしPhantom Shuttleは、うたっていた機能を果たすだけでなく、脅威アクターが所有するプロキシを介してユーザーのウェブトラフィックをルーティングしており、これによりログイン認証情報、決済カード情報、個人情報などを取得できる状態になっていた。
ただし、すべてのトラフィックをルーティングしていたわけではない。代わりに、開発者向けプラットフォーム、クラウドサービスのコンソール、ソーシャルメディアサイト、アダルトコンテンツのポータルなど、およそ170の高価値ドメインを監視し、価値のある情報だけを確実に拾い上げるようにしていた。
ローカルネットワークとC2ドメインはリストから除外されており、プラグインが警戒を招かないようにしていた。Googleはその後、両方の拡張機能をアプリストアから削除し、「Phantom Shuttle」を検索しても結果は表示されない。
インターネットブラウザは、現代のあらゆるコンピュータにおいて最も重要なソフトウェアであり、そのためサイバー犯罪者にとって大きな標的となる。現在利用されている多くのブラウザは比較的安全だが(たとえばChromeでは、2025年これまでにゼロデイ脆弱性は8件しか確認されていない)、アドオンは弱点になりやすく、巧妙な犯罪者が悪意あるコードをプログラムに忍び込ませる余地を与えてしまう。
そのため、ユーザーはブラウザにプラグインや拡張機能をダウンロードしてインストールする際、特に注意するよう勧められている。
