- SocketがHR/ERPプラットフォームを偽装する悪意あるChrome拡張機能を5件発見
- 拡張機能は認証情報の窃取、セッションハイジャック、インシデント対応の妨害を可能にしていた
- Chromeストアからは削除されたが、サードパーティサイトにはまだ残っている
職場でWorkday、NetSuite、またはSuccessFactorsを使用している場合、インストール済みのブラウザ拡張機能やアドオンに注意したほうがよいかもしれません。意図せずマルウェアをインストールしてしまっている可能性があるためです。
セキュリティ研究者のSocketは、人気の人事(HR)ソフトウェアや企業資源計画(ERP)プラットフォームを偽装するChrome拡張機能を5件発見したと警告しています。
研究者によると、これらのプラグインは認証トークンを盗み、インシデント対応機能を妨害し、あるいはセッションハイジャックによってアカウントを完全に乗っ取れるよう設計されていました。
数千人の被害者
悪意ある拡張機能の一覧は以下のとおりです:
DataByCloud Access
Tool Access 11
DataByCloud 1
DataByCloud 2
Software Access
このニュースがウェブに出回った時点で、5件すべてがすでにGoogle Chromeウェブストアから削除されていました。それでも、削除前にインストールしていたユーザーは、プラグインをアンインストールし、感染が除去されたかどうかを確認するために徹底的なスキャンを実行するまでは、完全に安全とは言えません。
さらに、The Hacker Newsは、これらのプラグインがSoftonicなどのサードパーティのソフトウェアダウンロードサイトで依然として入手可能だと報じていますが、記事執筆時点ではSoftonicのサイトがオフラインのように見えたため、私たちはこの主張を独自に検証できませんでした。
合計すると、これら5つのアドオンは2,739回ダウンロードされており、このキャンペーンが特に効果的だったわけではないことを示唆しています。
それでも、Workday、NetSuite、SuccessFactorsは通常、企業や多国籍企業を含む中規模から大規模の組織で、人事、財務、給与、運用チーム向けに使用されています。こうした組織のうち1社であってもアカウントが完全に乗っ取られれば、数百万ドル規模の損害と数千人の影響を伴う大規模なサイバー攻撃へと発展しかねません。
さらに悪いことに、削除された拡張機能の中には、初回公開が4年以上前にさかのぼるものもありました。
「継続的な認証情報の窃取、管理インターフェースのブロック、そしてセッションハイジャックが組み合わさることで、セキュリティチームは不正アクセスを検知できても、通常の経路では是正できない状況が生まれる」とSocketは述べています。
