企業セッションを乗っ取っていたChrome拡張機能5件が発覚

悪意のあるブラウザアドオンによる協調的なキャンペーンがChrome Web Storeの防御を回避し、生産性ツールとして宣伝された拡張機能を武器化して企業のセッショントークンを盗み、完全なアカウント乗っ取りを試みていた。

研究者らはブログ投稿で「これらの拡張機能は連携して認証トークンを盗み、インシデント対応能力を妨害し、セッションハイジャックによって完全なアカウント乗っ取りを可能にする」と記し、広く利用されているHRおよびERPプラットフォームを標的としたキャンペーンを明らかにした。

Socket.devの脅威リサーチチームが発見したこの脅威は、ステルス性の高い認証情報窃取とセキュリティ制御への能動的な干渉を組み合わせた、多面的な企業侵入である。このクラスターの背後にいる攻撃者は、プロフェッショナルなブランディングと一見正当な用途を備えながら、企業ワークフローの深部で悪意ある挙動を実行する5つのChrome 拡張機能を公開していた。

インストール数から、研究者がGoogleのセキュリティチームに警告し削除要請を提出するまでに、2,300人超のユーザーがこれらのツールの導入をだまされていたことが示唆される。拡張機能はWorkday、NetSuite、SuccessFactorsといったシステムを標的としており、単一のセッションが乗っ取られるだけで、従業員記録、財務データ、内部ワークフローが露出する可能性がある。

悪意あるコードを含む、偽装された生産性ツール

このクラスターの各拡張機能は、企業ユーザー向けの生産性向上ツールまたはセキュリティ支援ツールを装っていた。掲載ページには洗練されたダッシュボードが用意され、HRやERPツールへのアクセスを効率化すると約束していた。要求される権限も「標準的」で、Cookieへのアクセスやページ改変といった、一見無害に見える機能だった。

しかしインストール後、DataByCloud Access、Data By Cloud 1、そして単にSoftware Accessと呼ばれる亜種を含む3つの拡張機能が、認証トークンを含むセッションCookieを攻撃者が管理するインフラへ流出させていた。多くの企業システムでは、これらのトークンだけでパスワードなしにユーザーを認証できる。場合によっては、最新の認証情報を確保するために60秒ごとにCookieが抽出されていた。

侵害されたセッションは盗まれたパスワードとして機能し得る。なぜならセッションはすでにログイン画面と多要素チェックを通過しており、典型的なセキュリティアラートを発生させることなくアカウントへ直接アクセスできるからだ。

研究者らは「本稿執筆時点で、5つの拡張機能はいずれも調査中だ」と述べた。「GoogleのChrome Web Storeセキュリティチームに削除要請を提出した」。GoogleはCSOのコメント要請に直ちには回答しなかった。

防御の妨害とセッションの乗っ取り

このキャンペーンは認証情報の窃取にとどまらなかった。Tool Access 11とData By Cloud 2の2つの拡張機能には、標的プラットフォーム内のセキュリティおよび管理ページへのアクセスを能動的に遮断するDOM操作ルーチンが組み込まれていた。これにより、企業管理者は不審な挙動を検知しても、パスワード変更、サインイン履歴の確認、侵害されたアカウントの無効化といった画面に到達できなくなっていた。

5つの中で最も高度だったSoftware Accessは、（Cookie窃取に加えて）双方向のCookie注入を提供しており、盗まれたセッショントークンを攻撃者が制御するブラウザへ再導入していた。「chrome.cookies.set()」のようなAPIを用いることで、この機能は有効な認証Cookieを直接埋め込み、無防備なユーザー側で追加の操作が一切なくても、脅威アクターに認証済みセッションを付与する。

この手法はログイン画面と多要素認証を事実上回避し、即時のアカウント乗っ取りを可能にする。

研究者らは「4つの拡張機能はdatabycloud1104名義で公開され、5つ目は別のブランド名で公開されているが、5つすべてが同一のインフラパターンを共有しており、単一の協調作戦であることを示している」と付け加えた。Socketは組織に対し、ブラウザ拡張機能を厳格に監査して制限し、権限要求を綿密に精査し、Cookieや企業サイトに不必要にアクセスするアドオンを削除するよう助言した。ブログではまた、異常なセッション活動の監視と、ユーザーに到達する前に悪意ある拡張機能の挙動を検知できるツールの利用も推奨している。