GhostPosterと呼ばれる悪意あるブラウザ拡張機能キャンペーンは、信頼されているアドオンがいかに静かに長期稼働のマルウェア・インプラントへと変貌し得るかを示している。画像ファイル内にペイロードを隠し、ストアの審査を回避できるほど長く休眠し続けるのだ。
LayerXは、Koi Securityによる当初の調査結果を拡張し、この活動を追加の拡張機能に結び付けるとともに、主要ブラウザ全体で数十万件に及ぶインストールを特定した。
「通常、悪意ある拡張機能を開発する不正行為者は、それを一度きりの取り組みにしません。むしろ、1つの悪意ある拡張機能のコード一式を手に入れると、それを複製し、同じソースコードベースに基づいて追加の悪意ある拡張機能を作成します」と、LayerX Securityのセキュリティリサーチ責任者であるMichelle Levy氏は、eSecurityPlanetへのメールで述べた。
同氏はさらに、「これにより、基盤となるインフラ、コード、機能、通信などを共有する関連する悪意ある拡張機能の“ファミリー”が生まれ、対処はモグラ叩きのようなゲームになります」と付け加えた。
Michelle氏は、「このキャンペーンは、ブラウザがもはや企業エンドポイント上に“ある”のではなく、ブラウザそのものがエンドポイントであるという現実を浮き彫りにしています。企業はそれに応じて防御を適応させる必要があります」と説明した。
GhostPosterブラウザ拡張機能キャンペーンの内側
GhostPosterは単なる1つの悪質な拡張機能ではなく、長期間にわたり通常のブラウザ動作に溶け込むよう設計された、より広範なキャンペーンだ。
LayerXの研究者は、Koiが発見したのと同じインフラと手口を、追加の17の拡張機能に結び付けた。これらは合計で84万件超のダウンロードがあり、場合によっては最長5年間アクティブなままだった。
これは、この作戦が短命な実験ではなく、ストアの審査を繰り返しすり抜けてきた長期的な取り組みだったことを示唆している。
キャンペーンの中核には、ステルス性を目的とした多段階の実行チェーンがある。
元のGhostPosterサンプルでは、Koi Securityは、初期ローダーがステガノグラフィによって拡張機能のPNGアイコンファイルのバイナリデータ内に隠されていることを突き止めた。
インストール後、拡張機能は実行時にアイコンを解析して隠されたコードを抽出し、その後、コマンド&コントロール(C2)インフラに接続する前に、しばしば48時間以上、起動を遅延させる。
この休眠期間により、拡張機能は短時間の振る舞いサンドボックスや、インストール直後の初期監視を回避しやすくなる。
一度アクティブになると、追加のJavaScriptペイロードを取得し、閲覧セッションへのスクリプト注入、アフィリエイトトラフィックの乗っ取り、Content Security Policy(CSP)やHTTP Strict Transport Security(HSTS)といったポリシーを改ざんしてWebセキュリティ保護を弱体化させるなどの行為を実行できる。
LayerXは、さらにこの概念を推し進めた、より回避性の高い亜種も特定した。
アイコンだけに依存するのではなく、悪意あるロジックは拡張機能のバックグラウンドスクリプト内に存在し、別の同梱画像ファイル内にペイロードを段階的に配置する。
コードは、生の画像バイト列から区切りパターン(ASCII文字列>>>>)を探し、それ以降のすべてをデコードしてローカルの拡張機能ストレージに保存し、後で実行する。
このバージョンでは、マルウェアはネットワーク活動を開始するまで約5日間「スリープ」でき、より長い休眠、モジュール式の更新、静的解析および短時間の実行時検知の双方に対する耐性強化へと意図的に移行していることを示している。
ブラウザ拡張機能のリスクを減らす方法
ブラウザ拡張機能は、特に悪意あるアドオンが通常のユーザー行動に溶け込み、数週間から数か月にわたって静かに動作する場合、見落とされがちなセキュリティの盲点になり得る。
攻撃者が遅延実行やセッション操作のようなステルス技術を用いる中、組織にはストアからの削除や基本的なユーザートレーニングを超える統制が必要だ。
- 監査を実施し、管理対象デバイス全体でブラウザ拡張機能を棚卸しする。特に、ポリシー統制の外でインストールされたものに注意する。
- 拡張機能の許可リストを強制し、サイドロード/開発者モードをブロックし、承認済みソースからのインストールのみに制限する。
- 高リスク権限を制限し、より厳格なブラウザベースラインを適用する。対象はIT管理者、財務、経営層などの特権ロール。
- 監視を行い、不審な拡張機能の挙動(遅延した外向き通信、異常なchrome.storageの使用、動的スクリプト実行パターンなど)を検知する。
- Webセッションおよびセキュリティポリシーの改ざんを検知する。Content Security Policy(CSP)やHTTP Strict Transport Security(HSTS)などの保護を弱めるヘッダー操作をハンティングする。
- 条件付きアクセスを強化してトークン窃取の影響を低減し、セッション有効期間を短縮し、強力な認証を強制する。
- インシデント対応計画を定期的にテストし、チームが悪意ある拡張機能を迅速に無効化し、セッションを失効させ、影響を受けたエンドポイントを封じ込められるようにする。
これらの統制は、たとえ拡張機能が侵害されても、攻撃者がどこまで進めるかを制限するのに役立つ。
ブラウザ拡張機能はサプライチェーンリスク
GhostPosterは、拡張機能ストアがセキュリティ境界ではなく、信頼されたブラウザアドオンがセッション窃取やWebレイヤー操作のための長期的な足場へと静かに変わり得ることを思い起こさせる。
攻撃者がステガノグラフィ、遅延起動、モジュール式ペイロード更新といったステルス手口を洗練させる中、企業は拡張機能を他のソフトウェアサプライチェーンリスクと同様に扱う必要がある。
つまり、強力なポリシーを施行し、拡張機能の挙動を監視し、訓練済みの対応プレイブックで統制を裏付けることを意味する。
侵害された拡張機能がアクセスできる範囲をさらに制限するため、組織は、すべてのリクエストを検証し暗黙の信頼を最小化するゼロトラスト・ソリューションを採用している。
