innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Chrome拡張機能の脅威:100以上の偽アドオンがセッション乗っ取りや認証情報窃取を実行

Chrome拡張機能の脅威:100以上の偽アドオンがセッション乗っ取りや認証情報窃取を実行 - innovaTopia - (イノベトピア)

Last Updated on 2025-05-21 17:05 by admin

2024年2月以降、正体不明の脅威アクターが100以上の悪意のあるChrome拡張機能を作成し、ユーザーのデータ窃取やセッション乗っ取りを行っていることがDomainTools Intelligenceチームによって明らかにされた。これらの拡張機能は、AI支援ツール、VPNサービス、暗号通貨ユーティリティ、生産性向上ツールなど、さまざまな有用なサービスを装っている。

この攻撃では、脅威アクターがまず正規サービスを模倣したウェブサイトを作成し、ユーザーをGoogle Chrome ウェブストアの悪意ある拡張機能のインストールページへ誘導する手法が取られている。これらの拡張機能は表向きは宣伝されている機能を提供しながら、裏では認証情報やクッキーの窃取、セッションの乗っ取り、広告の挿入、悪意のあるリダイレクト、トラフィックの操作、DOM操作によるフィッシングなどの悪意のある活動を行っている。

特に問題なのは、これらの拡張機能がmanifest.jsonファイルを通じて過剰な権限を自ら付与するように設定されていることである。これにより、ブラウザで訪問するすべてのサイトと対話し、攻撃者が管理するドメインから取得した任意のコードを実行することが可能になっている。

偽装されたサービスの例としては、DeepSeek、Manus、DeBank、FortiVPN、Site Statsなどが確認されている。被害者がこれらの偽サイトに誘導される方法は明確ではないが、フィッシングやソーシャルメディアを通じた一般的な手法が使われている可能性がある。多くの誘導サイトはFacebookのトラッキングIDを使用しており、Facebook/Metaのプラットフォームを通じてユーザーを引き付けていると考えられる。

Googleは既に特定された悪意のある拡張機能を削除しているが、ユーザーは拡張機能をダウンロードする際に検証済みの開発者のものを選び、要求される権限を確認し、レビューを精査することが推奨されている。

また、Secure Annexの調査によると、2025年4月には57本のChrome拡張機能が約600万人のユーザーのクッキーや閲覧情報を収集し、検索結果を改変していたことが明らかになっている。これらの中には「非公開拡張機能」と呼ばれる、Chrome Web Storeで検索できず直接URLでのみアクセス可能なものも含まれており、「Fire Shield Extension Protection」など30万人以上が利用していた拡張機能もあった。

References:
文献リンク100+ Fake Chrome Extensions Found Hijacking Sessions, Stealing Credentials, Injecting Ads

【編集部解説】

Chrome拡張機能は私たちのブラウジング体験を向上させる便利なツールですが、今回の事例は「便利さ」の裏に潜む危険性を改めて浮き彫りにしています。DomainTools Intelligenceが発見した100以上の悪意ある拡張機能は、単なる孤立した事例ではなく、ブラウザ拡張機能を標的とした攻撃の大きな流れの一部と考えられます。

最新の調査結果によると、2025年4月にはSecure Annexが57本のChrome拡張機能による約600万人のユーザー情報収集を報告しています。特に注目すべきは「非公開拡張機能」と呼ばれる、Chrome Web Storeで検索できず直接URLでのみアクセス可能な拡張機能の存在です。「Fire Shield Extension Protection」などの拡張機能は、検索で見つからないにもかかわらず30万人以上が利用していました。

また、2024年末には35の拡張機能が乗っ取られ、約260万人のユーザーに影響を与えた事例も報告されています。これらの事例から、拡張機能を悪用する攻撃が増加傾向にあることは明らかです。

特に注目すべきは攻撃者の手法の巧妙さです。今回のケースでは、攻撃者は正規のサービスを模倣したウェブサイトを作成し、そこからGoogle Chrome ウェブストアの悪意ある拡張機能へユーザーを誘導しています。一方、2024年末の事例では、開発者自身をフィッシング攻撃で騙し、OAuth認証を通じて拡張機能の管理権限を奪取するという方法が取られていました。

Googleは2025年3月にManifest V3を正式に実装し、拡張機能のセキュリティ向上を図っています。これにより、リモートでホストされたコードの実行が禁止されるなど、セキュリティが強化される一方で、多くの拡張機能が使用不可になるという副作用も生じています。

2025年4月29日にはChrome 136の安定版アップデートが公開され、8件のセキュリティ脆弱性に対する修正が行われました。特に深刻度「高(High)」に分類されるCVE-2025-4096(HTMLレンダリングエンジンにおけるヒープバッファオーバーフロー)の修正は重要です。

私たちユーザーにとって重要なのは、拡張機能をインストールする際の注意深さです。検証済みの開発者による拡張機能を選び、要求される権限を慎重に確認し、レビューを精査することが推奨されます。しかし、今回の事例では評価の操作も行われていたことから、レビューだけを信頼することも危険です。

企業のセキュリティ担当者は、従業員が使用する拡張機能の監査と管理を強化する必要があるでしょう。特に、広範な権限を要求する拡張機能については、その必要性を厳格に評価することが重要です。

テクノロジーの進化とともに、私たちの便利さを支えるツールが攻撃者の標的になるという構図は今後も続くでしょう。便利さとセキュリティのバランスをどう取るか、私たち一人ひとりが考えるべき時代になっています。

【用語解説】

DomainTools Intelligence (DTI)
DomainToolsは、ドメイン情報の収集と分析に特化した企業で、ネットワークセキュリティの脅威を検出・予測するサービスを提供している。DTIはその脅威インテリジェンスチームを指す。20年以上の実績があり、世界最大規模のドメインデータベースを持つ。

マニフェストファイル (manifest.json)
Chrome拡張機能の設定ファイルで、拡張機能の名前、説明、バージョン、必要な権限などを定義する。これはスマートフォンのアプリが「〇〇の機能へのアクセス許可」を求めるのと似ているが、より広範な権限を要求できる。

Manifest V3
Googleが2025年3月に正式実装した新しいChrome拡張機能のプラットフォーム。前バージョンのManifest V2と比較して、セキュリティが強化されている。リモートでホストされたコードの実行を禁止するなどの制限があり、多くの拡張機能が使用不可になっている。

DOM操作 (DOM manipulation)
Document Object Model(DOM)はウェブページの構造を表現するもので、これを操作することでページの内容や見た目を動的に変更できる。悪意ある拡張機能はこの機能を使って、ページに偽のログインフォームを挿入したり、正規のコンテンツを改ざんしたりする。

WebSocket接続
ウェブブラウザとサーバー間で双方向通信を可能にする技術。通常のHTTP通信と異なり、一度接続を確立すると継続的にデータをやり取りできる。悪意ある拡張機能はこれを使って、ユーザーの行動を継続的に監視したり、盗んだデータを送信したりする。

コンテンツセキュリティポリシー (CSP)
ウェブサイトが実行できるコンテンツを制限するセキュリティ層で、クロスサイトスクリプティング(XSS)などの攻撃を防ぐ。悪意ある拡張機能はこれを回避する手法を用いて、本来許可されていないスクリプトを実行しようとする。

非公開拡張機能
Chrome Web Store上で検索で見つからず、直接URLでのみアクセスできる形式で公開されている拡張機能。通常は社内ツールや開発中のアドオンとして使用されるが、悪意ある拡張機能の配布にも悪用されている。

【参考リンク】

DomainTools(外部)
ドメイン情報の収集・分析に特化した企業。脅威インテリジェンスサービスを提供し、サイバーセキュリティ対策を支援している。

Secure Annex(外部)
2025年4月に57本のChrome拡張機能による約600万人のユーザー情報収集を報告した企業。

DeepSeek(外部)
中国の企業が開発したAIサービス。文章作成や翻訳、調べ物などができるチャットボット。

Manus(外部)
2025年3月に中国で公開された汎用AIエージェント。自律的に思考・計画してタスクを実行する。

DeBank(外部)Web3のメッセンジャーであり、ポートフォリオトラッカー機能を備えるアプリケーション。

FortiClient VPN(外部)
FortinetのVPNクライアントソフト。IPsecVPNとSSL-VPNに対応し、リモートアクセスを安全に行える。

【参考動画】

【編集部後記】7

皆さん、普段何気なく使っているブラウザ拡張機能、最後に見直したのはいつですか? 最新の調査では、非公開拡張機能を含め600万人以上が悪意ある拡張機能の影響を受けていることが明らかになっています。便利なツールの裏に潜む脅威は、私たち自身の注意深さでかなり防げるものです。拡張機能の権限設定を見直したり、本当に必要なものだけを残す「デジタルミニマリズム」も一つの防御策かもしれません。皆さんはどのような基準で拡張機能を選んでいますか? また、安全性と便利さを両立できるお気に入りの拡張機能があれば、ぜひSNS欄で教えてください。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Chrome拡張機能の脅威:100以上の偽アドオンがセッション乗っ取りや認証情報窃取を実行

Latest News