サイバーセキュリティ研究者が2025年7月3日、Mozilla Firefox向けの40以上の悪意ある拡張機能を発見したと発表した。
これらの拡張機能は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxなど主要な暗号通貨ウォレットになりすまし、ユーザーの秘密鍵とシードフレーズを盗む設計となっている。
発見したのはKoi Securityの研究者Yuval Ronen氏である。このキャンペーンは2025年4月から継続しており、記事公開週の2025年7月第1週まで新しい拡張機能がFirefox Add-onsストアにアップロードされていた。攻撃者は数百件の偽の5つ星レビューを追加して人気を人為的に押し上げ、実際のインストール数を大幅に上回る評価を作成していた。
これらの拡張機能は正規のオープンソース拡張機能のソースコードをクローンし、悪意ある機能を注入してウォレット情報を外部サーバーに送信する仕組みである。ソースコード内のロシア語コメントとコマンド・アンド・コントロールサーバーから取得したPDFファイルのメタデータから、ロシア語圏の脅威アクターグループの関与が示唆されている。MyMonero Wallet以外の特定された悪意ある拡張機能はMozillaによって削除されたが、一部は報告時点でも利用可能だった。
From: 
Over 40 Malicious Firefox Extensions Target Cryptocurrency Wallets, Stealing User Assets
【編集部解説】
従来のフィッシング攻撃が偽のウェブサイトやメールに依存していたのに対し、今回の手法はユーザーのブラウザ内部で動作する点が革新的です。これにより、従来のエンドポイント保護ツールでは検出が困難になっています。
攻撃者は正規のオープンソース拡張機能のコードをクローンし、悪意あるコードを注入するという手法を採用しました。この方法により、ユーザーは期待通りの機能を体験しながら、同時に機密情報が盗まれるという状況が生まれています。
信頼構築メカニズムの悪用
特に注目すべきは、攻撃者が採用した信頼構築戦略の巧妙さです。数百件の偽の5つ星レビューを作成し、実際のインストール数を大幅に上回る評価を演出していました。これは、現代のデジタルマーケットプレイスにおける評価システムの脆弱性を浮き彫りにしています。
正規ブランドの名前とロゴを完全に模倣することで、視覚的な類似性を利用してユーザーを欺く手法も確認されています。
Mozillaの対応と検出システムの限界
興味深いのは、Mozillaが2025年6月に「早期検出システム」を導入していたにも関わらず、7月まで新たな悪意ある拡張機能がアップロードされ続けていた点です。これは、攻撃者が検出システムを回避する能力を持っていることを示唆しています。
Mozillaの担当者は「開発者が検出方法を回避しようとする、絶え間ないいたちごっこの状況」と表現しており、この問題の継続性を認めています。報告時点でも一部の悪意ある拡張機能が利用可能だったことは、検出システムの限界を示しています。
暗号通貨エコシステムへの影響
この事件は、暗号通貨エコシステム全体の信頼性に影響を与える可能性があります。特に、Web3技術の普及期において、こうしたセキュリティ事件は一般ユーザーの暗号通貨採用を阻害する要因となりかねません。
長期的な技術的影響
この事件は、ブラウザ拡張機能のセキュリティモデル自体の見直しを促す可能性があります。現在の許可ベースのシステムでは、ユーザーが拡張機能に与える権限の範囲を十分に理解することが困難です。
将来的には、より厳格な拡張機能の検証プロセスや、サンドボックス化の強化が求められるでしょう。また、暗号通貨ウォレット自体のセキュリティ設計においても、ブラウザ拡張機能からの攻撃を想定した防御メカニズムの実装が重要になります。
規制への影響
この事件は、暗号通貨関連のセキュリティ規制強化の議論を加速させる可能性があります。特に、ブラウザ拡張機能マーケットプレイスの運営者に対する責任の明確化や、より厳格な審査プロセスの義務化が検討されるかもしれません。
ロシア語圏の脅威アクターグループの関与が示唆されている点も、国際的なサイバーセキュリティ協力の重要性を改めて浮き彫りにしています。
【用語解説】
ブラウザ拡張機能
ウェブブラウザに追加できる小さなソフトウェアプログラムで、ブラウザの機能を拡張する。Chrome、Firefox、Edgeなどで利用可能。
シードフレーズ(リカバリーフレーズ)
暗号通貨ウォレットの復元に使用される12〜24個の英単語の組み合わせ。この単語列があれば、別のデバイスでもウォレットを復元できる。
秘密鍵(プライベートキー)
暗号通貨の所有権を証明し、取引を承認するために使用される暗号学的な鍵。この鍵を知っている人だけが資産を移動できる。
コマンド・アンド・コントロール(C2)サーバー
サイバー攻撃者が感染したデバイスを遠隔操作するために使用するサーバー。マルウェアに指示を送ったり、盗んだデータを受信したりする。
オープンソース
ソースコードが公開されており、誰でも閲覧・改変・再配布できるソフトウェア開発手法。透明性が高く、コミュニティによる検証が可能。
フィッシング詐欺
偽のウェブサイトやメールを使って、ユーザーの個人情報や認証情報を騙し取る詐欺手法。
ノンカストディアル(非管理型)ウォレット
ユーザー自身が秘密鍵を管理する暗号通貨ウォレット。取引所などの第三者に資産を預けない自己管理型のウォレット。
【参考リンク】
Coinbase(外部)
世界最大級の暗号通貨取引所。初心者にも使いやすいインターフェースが特徴
MetaMask(外部)
イーサリアム対応の代表的な暗号通貨ウォレット。DeFiやNFTサービスとの連携が可能
Trust Wallet(外部)
バイナンス公式の分散型マルチチェーンウォレット。100以上のブロックチェーンに対応
Phantom(外部)
Solanaブロックチェーン中心の暗号通貨ウォレット。高速取引とWeb3連携が特徴
Exodus(外部)
美しいデザインと直感的な操作性で人気の暗号通貨ウォレット。通貨交換機能も搭載
OKX(外部)
世界有数の暗号通貨取引所。現物・先物取引、DeFiサービスなど幅広い機能を提供
Keplr(外部)
Cosmosエコシステム専用のマルチチェーンウォレット。異なるブロックチェーン間の資産移動が可能
MyMonero(外部)
プライバシー特化の暗号通貨Monero専用ウェブウォレット。強力な匿名性機能を提供
Bitget(外部)
シンガポール拠点の暗号通貨取引所。コピートレード機能で有名、700種類以上を取り扱い
Mozilla Firefox(外部)
オープンソースのウェブブラウザ。プライバシー保護機能と豊富な拡張機能が特徴
【参考記事】
Dozens of fake wallet add-ons flood Firefox store to drain crypto(外部)BleepingComputerによる詳細な技術分析記事。偽拡張機能の動作メカニズムを具体的に解説
Crypto theft campaign hits Firefox users with wallet clones(外部)Cointelegraphによる暗号通貨業界視点の分析。ロシア語圏脅威アクターの関与について詳述
【編集部後記】
皆さんは普段、ブラウザ拡張機能をどのような基準で選んでいますか?今回の事件を受けて、私も改めて自分のブラウザを見直してみました。
暗号通貨を扱っている方はもちろん、そうでない方も、拡張機能の安全性について一度考えてみませんか?レビュー数や評価だけでなく、開発者の情報や更新履歴なども確認する習慣をつけることで、リスクを減らせるかもしれません。
また、Web3時代のセキュリティについて、皆さんはどのような対策を取られていますか?もしよろしければ、コメントやSNSで体験談やご意見をお聞かせください。私たちも読者の皆さんと一緒に、より安全なデジタル環境について考えていきたいと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
ブロックチェーンニュースをinnovaTopiaでもっと読む
