サイバーセキュリティ企業自体がマルウェア拡散の温床となったとしたら、どうなるでしょうか。まさにそれが現実となりました。セキュリティ企業Cyberhavenは先週水曜日、Chromeの拡張機能を通じて40万人のユーザーに悪意あるコードを送り込まれるという深刻な被害を受けました。
Cyberhavenは、DLP(情報漏洩防止)領域のスタートアップです。組織の機密データがChatGPTやFacebookといった未承認のプラットフォームに流出するのを防ぐChrome拡張機能を提供しています。同社は近年急成長しており、直近の資金調達ラウンドでは8800万ドルを調達しています。
事件の経緯:時系列で振り返る
クリスマスイブにあたる火曜日の夜、Cyberhavenの管理者は不審なメールを受け取りました。「Chrome拡張機能がGoogleのポリシーに違反しており、Chromeウェブストアから削除される恐れがある」という内容でした。Cyberhavenのような企業にとって、拡張機能の削除は致命的なダメージになりかねません。しかし、このメールは管理者を騙すために仕掛けられたフィッシングキャンペーンに過ぎませんでした。
メール内のリンクをクリックした管理者は、Googleの同意画面へと誘導されました。そこではPrivacy Policy Extensionという名前のOAuthアプリケーションへの権限付与が求められていましたが、これは実際には攻撃者が操るツールでした。管理者が誤って権限を付与してしまったことで、攻撃者はCyberhavenのChrome拡張機能の新バージョンをウェブストアにアップロードできる状態になってしまいました。
アップロード権限を手に入れた攻撃者は、悪意ある版のCyberhaven Chrome拡張機能を公開しました。Googleは新バージョンのアップロードごとにセキュリティチェックとスキャンを実施していると主張していますが、悪意あるコードを含む新バージョンはその直後、水曜日の朝(2024年12月25日)に公開されてしまいました。
重要な点として、ブラウザ拡張機能は自動的にアップデートされます。つまり、悪意あるバージョンが公開された瞬間、約40万人のCyberhavenユーザー全員に自動配信されてしまったのです。これは深刻な事態です。
悪意あるコードの目的
分析の結果、このコードはユーザーのパスワードやCookie、アカウント乗っ取りに使えるその他の情報を窃取するよう設計されていたことが判明しました。
悪意あるバージョンが公開されてから数時間後、Cyberhavenのセキュリティチームが攻撃を検知し、悪意あるコードの削除に動きました。金曜日には、同社が今回の侵害についての声明を発表し、セキュリティ業界に衝撃が走りました。しかし、話はここで終わりません。発表を受けてさらなる調査が行われ、同じ悪意あるコードを含む人気拡張機能が数十件にのぼることが明らかになりました。同じキャンペーンが他のChrome拡張機能の開発者も標的にしていたとみられています。
現時点では、VPNCityやReader Modeなどの拡張機能を通じて、100万台以上のコンピューターが感染したと推定されています。調査は現在も継続中ですが、これまでに同様の手口で侵害されたChrome拡張機能が合計16件確認されています。IOC(侵害指標)はブログ記事の末尾に掲載しています。
対策と推奨事項
まず、自分の環境が感染していないかどうかを確認することを強くお勧めします。下記のIOCを活用するか、ExtensionTotalの窓口(こちらからお問い合わせ)にご連絡ください。また、組織内でこのような事態を防ぐためには、バージョンピン留め(Version Pinning)の実施が有効です。バージョンピン留めとは、組織内で事前に承認した拡張機能のバージョンを固定することで、悪意ある自動アップデート攻撃のリスクを排除する手法です。ExtensionTotal Enterpriseのような製品を活用することで実現できます。
拡張機能の開発者を信頼していたとしても、バージョンが変わるたびにまったく別のコードになり得ることを忘れてはなりません。開発者のアカウントが侵害された場合、ユーザーも事実上ほぼ即座に危険にさらされることになります。
また、ExtensionTotalの観測によれば、こうした攻撃は多くの類似したソフトウェアエコシステムでも発生しています。例えば、他のブラウザ拡張機能(Edge、Safari、Firefox)、IDE拡張機能(Visual Studio Code、JetBrains)、コードパッケージ(NPM、PyPI)などが挙げられます。
これは大企業が日々直面する、ソフトウェアサプライチェーンの典型的な課題です。セキュリティと生産性をどうやって両立させるか?ExtensionTotalは、まさにその問いに答えるために構築されました。実務担当者から大企業まで幅広く対応し、セキュリティプロセスを自動化することで、可視性・ガバナンス・リスクの予防的管理を実現し、攻撃対象領域の縮小と最適化を支援します。
Fortune 100・500企業や防衛テック企業にも信頼されているExtensionTotalに、ぜひお気軽にお問い合わせください 🤙
*** 更新情報 2024年12月30日 13:03 UTC ***
ExtensionTotalは、同一キャンペーンの一部として12万人のユーザーを持つ悪意あるChrome拡張機能をさらに3件発見しました。調査は引き続き継続中です。
*** 更新情報 2024年12月31日 6:13 UTC ***
悪意あるコードを含む侵害済みChrome拡張機能がさらに多数発見されました。最新情報はインシデントページでご確認ください。
ExtensionTotalより。本ブログ記事の多くは、担当者によるLinkedInの投稿を参考にしています。
翻訳元: https://www.koi.ai/blog/when-chrome-extensions-turn-against-us-the-cyberhaven-breach-and-beyond