攻撃者は悪意のあるChrome拡張機能を使用して、人気のHRおよびERPプラットフォームへのアクセスを獲得した。
T. Schneider – shutterstock.com
セキュリティベンダーSocketの研究者は、悪意のあるChromeアドオンに基づく協調的なキャンペーンを発見した。攻撃者はChrome Web Storeの防御メカニズムを回避し、拡張機能を生産性向上ツールとして宣伝していた。
「これらの拡張機能は連携して認証トークンを盗み、インシデント対応機能を妨害し、セッションハイジャックによってアカウントの完全な乗っ取りを可能にします」と、セキュリティ専門家はブログ記事で説明している。
このキャンペーンの背後にいる人物は、プロフェッショナルなブランディングと一見正当な用途を装いながら、企業のワークフローの深部で悪意ある動作を実行する5つのChrome拡張機能を公開した。
インストール数から、2,300人以上のユーザーがこれらのツールをインストールするよう誘導されたことが示唆される。拡張機能はWorkday、NetSuite、SuccessFactorsなどのシステムを標的としており、1つのセッションが乗っ取られるだけで、従業員データ、財務データ、内部業務フローが露出する可能性がある。
これらの拡張機能は、エンタープライズユーザー向けの生産性ブースターやセキュリティ支援ツールを装っていた。掲載ページでは、攻撃者はプロが作り込んだダッシュボードを提示し、HRやERPツールへのアクセスを簡素化すると約束していた。要求される権限は「標準的」なものとされ、CookieへのアクセスやWebサイトの改変といった一見無害な機能が含まれていた。
しかしインストール後、DataByCloud Access、Data By Cloud 1、そしてSoftware Accessという名称の亜種を含む3つの拡張機能が、認証トークンを含むセッションCookieを攻撃者が管理するインフラへ持ち出していた。多くの企業システムでは、これらのトークンだけでパスワードなしにユーザーを認証できる。場合によっては、最新のログイン情報を確保するために、これらのCookieが60秒ごとに抽出されていた。
侵害されたセッションは、ログインページや多要素認証のチェックをすでに通過しているため、盗まれたパスワードのように機能し、通常のセキュリティ警告を発生させることなくアカウントへ直接アクセスできてしまう。
「本稿執筆時点では、5つの拡張機能すべてが引き続き調査中です」と研究者は述べる。「Chrome Web StoreのGoogleセキュリティチームに削除申請を提出しました。」
セキュリティ対策のブロックとセッションのハイジャック
このキャンペーンは認証情報の窃取にとどまらなかった。2つの拡張機能(Tool Access 11とData By Cloud 2)には、標的プラットフォーム内のセキュリティ/管理ページへのアクセスを能動的にブロックするDOM操作ルーチンが含まれていた。その結果、エンタープライズ管理者は不審な挙動を検知しても、パスワード変更、ログイン履歴の確認、侵害されたアカウントの無効化ができなくなっていた。
5つの拡張機能の中で最も技術的に高度だったSoftware Accessは、Cookie窃取に加えて双方向のCookie注入も提供しており、盗まれたセッショントークンを攻撃者が管理するブラウザへ再注入していた。「chrome.cookies.set()」のようなAPIを用いて、この機能は有効な認証Cookieを直接埋め込み、無防備なユーザーが追加の操作を行うことなく、攻撃者に認証済みセッションを付与する。
「4つの拡張機能はdatabycloud1104名義で、5つ目は別のブランド名義で公開されているものの、5つすべてが同一のインフラパターンを示しており、単一の協調的なオペレーションを示唆しています」と研究者は付け加えた。
保護のためのヒント
Socketは企業に対し、ブラウザ拡張機能を厳格に審査・制限し、権限要求を注意深く確認し、CookieやエンタープライズWebサイトへ不必要にアクセスするアドオンは削除するよう助言している。さらにブログでは、異常なセッション活動を監視し、ユーザーに到達する前に拡張機能の悪意ある挙動を検知できるツールを使用することを推奨している。(jm)
