数十の Chrome 拡張機能がハッキングされ、260 万人以上のユーザーがデータ盗難の危険にさらされる

大規模なサイバーセキュリティ侵害により、少なくとも 35 個の人気の Chrome ブラウザ拡張機能が侵害され、260 万人以上のユーザーがデータ盗難や認証情報収集の危険にさらされました。この攻撃は、フィッシング キャンペーンで拡張機能開発者を標的とし、ハッカーが正当な拡張機能に悪意のあるコードを挿入できるようにすることで、信頼できるツールをデータ盗難の脅威に変えました。

攻撃がどのように起こったか

この侵害は、Google Chrome ウェブストアの開発者サポートを装ったフィッシングメールから始まりました。このメールは、対象の拡張機能がポリシー違反のため削除される恐れがあると虚偽の主張をし、開発者に「問題を解決する」ためのリンクに従うよう促していました。このリンクは、「プライバシー ポリシー拡張機能」と呼ばれる悪意のある OAuth アプリに権限を付与し、攻撃者が開発者のアカウントにアクセスできるようにしていました。

アクセスが取得されると、悪意のあるコードが影響を受ける拡張機能にアップロードされました。このコード:

• クッキーとユーザーアクセストークンを盗みました。
• 追加の指示をダウンロードするためにコマンド アンド コントロール (C&C) サーバーと通信しました。
• さらなる悪用のためにユーザーデータを盗み出しました。

この攻撃は、サイバーセキュリティ企業サイバーヘイブンが12月24日に自社の従業員の1人が標的になったことを明らかにしたことで明らかになった。同社のブラウザ拡張機能はすぐに悪用されたが、この事件は氷山の一角に過ぎなかった。

侵害された拡張機能の完全なリスト

調査員がさらに詳しく調査した結果、侵害された Chrome 拡張機能が次のとおり特定されました。

1. AI アシスタント - Chrome 向け ChatGPT と Gemini
2. Bard AI チャット拡張機能
3. OpenAIによるGPT 4の概要
4. Chrome 向け Copilot AI アシスタントを検索
5. TinaMind AIアシスタント
6. ウェインAI
7. VPNシティ
8. インターネクストVPN
9. Vidnoz Flex ビデオレコーダー
10. VidHelper ビデオダウンローダー
11. ブックマークファビコンチェンジャー
12. カストルス
13. ユーボイス
14. リーダーモード
15. オウムの話
16. プリムス
17. Tacker - オンライン キーロガー ツール
18. AIショップバディ
19. 古い順に並べ替え
20. 報酬検索オートメーション
21. ChatGPTアシスタント - スマート検索
22. キーボード履歴レコーダー
23. ハンターにメール
24. Google Meet の視覚効果
25. Earny - 最大20%のキャッシュバック
26. クッキーはどこですか？
27. ウェブミラー
28. ChatGPTアプリ
29. こんにちはAI
30. Web3パスワードマネージャー
31. YesCaptchaアシスタント
32. プロキシスイッチyOmega (V3)
33. GraphQL ネットワーク インスペクター
34. Google Meet 向け ChatGPT
35. OpenAIによるGPT 4の概要

この包括的なリストは、AI アシスタンス、VPN サービス、生産性などに使用される拡張機能に影響を与える侵害の範囲を強調しています。

悪質な活動が発覚

攻撃者は単にデータを盗んだだけではありません。侵害された拡張機能の分析により、次のことが明らかになりました。

• アイデンティティと認証情報の標的化: 悪意のあるコードは、アクセス トークンとアイデンティティ情報、特に Facebook 広告アカウントを探し出しました。
• マウスクリックの監視: コードが記録されたユーザーは、Facebook ページでクリックして QR コードをキャプチャし、 2 要素認証 (2FA)をバイパスする可能性があります。
• 収益化スキーム: 侵害が発生する前から、開発者が収益化のためにデータ収集 SDK をすでに組み込んでいたケースもありました。

Google Meet の Visual Effects などの拡張機能は、Urban VPN にリンクされた広告ブロック ライブラリを使用して、ユーザー データを密かに収集していました。

これはどれくらい続いているのでしょうか?

証拠から、このキャンペーンは2022年以前から活動していた可能性があることが示唆されています。捜査官は、悪意のある活動に関連するドメイン登録を2021年までさかのぼって追跡しました。例:

• ドメインnagofsg[.]comは2022年8月に登録されました。
• ドメインsclpfybn[.]comは2021年7月に登録されました。

継続的なリスク

Chrome ウェブストアでは、侵害された拡張機能の多くが削除または更新されていますが、リスクは完全に軽減されたわけではありません。拡張機能の悪意のあるバージョンがユーザーのデバイス上でまだアクティブになっている場合、データの盗難が継続される可能性があります。

「Chrome ウェブストアから拡張機能を削除しても、ユーザーのエンドポイントから自動的に削除されるわけではありません」と、LayerX Security の CEO である Or Eshed 氏は警告しています。

あなたにできること

データを保護するために実行できる手順は次のとおりです。

1. 影響を受ける拡張機能をアンインストールする: 侵害された拡張機能のリストを確認し、インストールされている拡張機能を削除します。
2. 権限を取り消す: 疑わしい拡張機能やアプリに権限を付与した場合は、Google アカウント設定ですぐに取り消してください。
3. 2FA を有効にする: 可能な限り 2 要素認証を使用してアカウントを強化します。
4. パスワードの更新: 漏洩した可能性があるアカウントのパスワードを変更します。
5. 異常なアクティビティを監視する: アカウントへの不正アクセスやアクティビティを監視します。

最後に

この事件は、ブラウザ拡張機能を使用する際に警戒を怠らないことの重要性を強調しています。拡張機能は強力なツールですが、侵害されると重大なセキュリティ リスクも伴います。開発者もユーザーもフィッシング キャンペーンに警戒を怠らず、権限と更新を精査する必要があります。

Google の Chrome ウェブストアのレビュー プロセスも、悪意のあるアクティビティをより適切に検出し、将来同様の脅威からユーザーを保護するために適応する必要があります。

情報を入手し、積極的に行動することで、ユーザーは今回の攻撃や将来の攻撃によるリスクを最小限に抑えることができます。信頼されたツールがサイバー犯罪者の侵入口にならないように、今すぐデータを保護するための対策を講じてください。