サイバーセキュリティ企業がマルウェア拡散の道具になってしまったら、何が起きるのか考えたことはありますか?まさにそれが先週水曜日、サイバーセキュリティ企業Cyberhavenに起きました。Chrome拡張機能を通じて悪意あるコードが配布され、同社の40万人のユーザーが感染する事態につながりました。
CyberhavenはDLP(Data Loss Prevention:データ損失防止)領域のスタートアップの一つで、組織の機密データが漏えいするのを防ぐためのツールを提供しています。同社はChrome拡張機能を提供しており、ChatGPTやFacebookのような未承認のプラットフォームに、ユーザーが組織の機密情報を入力するのをブロックします。最近同社は好調で、直近の資金調達ラウンドでは8,800万ドルを調達しました。
時系列で何が起きたのか?
火曜日の夜、クリスマス・イブに、Cyberhavenの管理者のもとに不穏なメールが届きました。内容は、同社のChrome拡張機能がGoogleのポリシーに違反しており、Chromeウェブストアから削除されるリスクがある、というものでした。Cyberhavenのような企業にとって、削除は壊滅的な打撃になり得ます。しかしそのメールは、管理者をだまして詐欺に引っかけるためのフィッシングキャンペーンに過ぎませんでした。
メール内のリンクをクリックすると、管理者はGoogleの同意画面に誘導され、Privacy Policy Extensionという名前のOAuthアプリケーションへの権限付与を求められました。このアプリケーションは実際には攻撃者が管理するツールでした。権限を付与したことで、管理者は知らないうちに、攻撃者にCyberhavenのChrome拡張機能の新バージョンをウェブストアへアップロードできる権限を与えてしまいました。
攻撃者が新しい拡張機能アップデートをアップロードできるようになると、CyberhavenのChrome拡張機能の悪意あるバージョンをリリースしました。Googleはストアにアップロードされる新バージョンごとにセキュリティチェックとスキャンを実施していると主張していますが、悪意あるコードを含む新バージョンはその後まもなく、2024年12月25日(水)の朝に公開されました。
理解しておくべき重要な点は、ブラウザ拡張機能は自動更新されるということです。つまり、悪意あるバージョンが公開されると同時に、Cyberhavenの約40万人のユーザーのほぼ全員に配信されてしまったのです。かなり深刻です。
悪意あるコードは何をしたのか?
分析の結果、ユーザーのパスワード、Cookie、その他アカウント乗っ取りにつながり得る情報を盗むよう設計されていたことが判明しました。
悪意あるバージョンが公開されてから数時間後、Cyberhavenのセキュリティチームが攻撃を特定し、悪意あるコードを削除する対応を取りました。金曜日、同社は侵害に関する声明を発表し、サイバーセキュリティ業界に衝撃が走りました。しかし話はそれで終わりません。発表後の追加調査により、同じ悪意あるコードを含む人気拡張機能が数十個見つかりました。同じキャンペーンが、他のChrome拡張機能の開発者も標的にして成功していたようです。
現在、VPNCity、Reader Modeなどの拡張機能を通じて、悪意あるコードにより100万台以上のコンピュータが感染したと推定されています。調査は継続中ですが、これまでに同様に侵害されたChrome拡張機能は合計16件見つかっています。IOCはブログ記事の末尾に添付しています。
どう対処すればよいか?
まず、環境が感染していないことを確認することを強く推奨します。下記のIOCを活用するか、ExtensionTotalのお問い合わせまでご連絡ください。さらに、組織内でこのような事態を防ぐ方法としてバージョン固定(Version Pinning)の実装があります。バージョン固定とは、組織内で事前承認した拡張機能のバージョンを固定し、悪意ある自動更新攻撃の影響を受けにくくすることを意味します。これはExtensionTotal Enterprise.のような製品を使って実現できます。
拡張機能の開発者を信頼している場合でも、各バージョンは前のものとまったく異なる可能性があることを忘れてはなりません。拡張機能の開発者が侵害されれば、ユーザーも事実上侵害されます――ほぼ即座に。
さらに、ExtensionTotalが観測しているように、こうした攻撃は多くの類似ソフトウェア・エコシステムでも発生します。たとえば他のブラウザ拡張機能(Edge、Safari、Firefox)、IDE拡張機能(Visual Studio Code、JetBrains)、コードパッケージ(NPM、Pypi)などです。
これは大企業で日々直面するソフトウェア・サプライチェーンの典型的な問題です。セキュリティと生産性をどう両立するのか?私たちは実務者と企業の双方のために、それを実現するExtensionTotalを構築しました。
Fortune 100、500、そして防衛テック企業に信頼されているExtensionTotalは、セキュリティプロセスを自動化し、可視性、ガバナンス、プロアクティブなリスク管理を提供することで、この攻撃対象領域を削減し、バランスを取ります。
お話ししたい方は、こちらからご連絡ください 🤙
*** 更新 30/12/2024 13:03 UTC ***
ExtensionTotalは同一キャンペーンの一環として、ユーザー12万人を抱える悪意あるChrome拡張機能をさらに3件発見しました。調査は現在も継続中です。
*** 更新 31/12/2024 6:13 UTC ***
悪意あるコードを含む、追加の侵害されたChrome拡張機能が多数見つかりました。インシデントページを通じて最新情報を追うことを推奨します。
ExtensionTotalより。本ブログ記事の多くは、彼のLinkedIn投稿に着想を得ています。
翻訳元: https://www.koi.ai/blog/when-chrome-extensions-turn-against-us-the-cyberhaven-breach-and-beyond
