著者: リサ & ヤオ
編集者: リズ
最近、有名な Chrome プロキシ切り替えプラグイン SwitchyOmega に秘密鍵を盗む危険性があると一部のユーザーから報告がありました。
分析の結果、この安全上の問題は初めて発生したものではなく、昨年すでに関連する安全警告が出されていたことが判明しました。しかし、一部のユーザーは警告に気付かず、汚染されたバージョンのプラグインを使い続けており、秘密鍵の漏洩やアカウントの乗っ取りなどの深刻なリスクにさらされている可能性があります。この記事では、プラグインの改ざんの状況を分析し、プラグインの改ざんを防ぎ、悪意のあるプラグインに対処する方法について説明します。
イベントレビュー
この事件は攻撃の調査中に初めて明らかにされた[1]。 2024年12月24日、サイバーヘイブンの従業員がフィッシングメールの攻撃を受け、その結果、彼がリリースしたブラウザプラグインに悪意のあるコードが挿入され、ユーザーのブラウザのCookieとパスワードを盗み、攻撃者のサーバーにアップロードしようとしました。サイバーヘイブンはブーズ・アレン・ハミルトンに独立調査を依頼した。ブーズ・アレン・ハミルトンは脅威インテリジェンスレポート[2]の中で、Googleプラグインストアの30以上のプラグインがProxy SwitchOmega(V3)を含め、同様の攻撃を受けたと指摘した。
フィッシングメールは、サイバーヘイブンがリリースしたブラウザ拡張機能がGoogleの利用規約に違反していると主張し、直ちに対策を取らなければプラグインを取り消すと脅迫していた。従業員は緊急感から、電子メール内のフィッシング リンクをクリックし、「プライバシー ポリシー拡張」と呼ばれる OAuth アプリケーションを承認しました。 OAuth の主なリスクは、攻撃者が OAuth アプリケーションにアクセスすると、パスワードを要求せずに被害者のアカウントをリモートで制御し、アプリケーション データを変更できることです。次の図は、攻撃者が偽造した OAuth 認証フィッシング メール インターフェースを示しています。
攻撃者は、サイバーヘイブンの Chrome App Store アカウントを掌握した後、悪意のあるコードを含む拡張機能の新バージョンをアップロードし、Chrome の自動更新メカニズムを使用して、影響を受けたユーザーを、ユーザーに気付かれずに悪意のあるバージョン (バージョン番号 24.10.4、ハッシュ値 DDF8C9C72B1B1061221A597168F9BB2C2BA09D38D7B3405E1DACE37AF1587944) に自動的に更新しました。
悪意のある拡張機能には 2 つのファイルが含まれており、worker.js ファイルはコマンド アンド コントロール (C&C) サーバーに接続し、構成をダウンロードして Chrome のローカル ストレージに保存します。次に、content.js からのイベントのリスナーを登録します。 Cyberhaven 拡張機能の悪意のあるバージョン (24.10.4) は、12 月 25 日午前 1 時 32 分 (UTC) にオンラインになり、12 月 26 日午前 2 時 50 分 (UTC) に削除され、合計 31 時間オンラインになりました。この間、拡張機能を実行している Chrome ブラウザは悪意のあるコードを自動的にダウンロードしてインストールします。
ブーズ・アレン・ハミルトンの調査報告書では、Google ストアにおけるこれらの影響を受けるプラグインの累計ダウンロード数が 50 万回を超え、260 万台を超えるユーザーデバイスから機密データが盗まれ、ユーザーに大きなセキュリティリスクをもたらしていると指摘されています。これらの改ざんされた拡張機能は、Google Chrome アプリストアで最大 18 か月間入手可能でしたが、その間、被害を受けたユーザーは自分のデータが漏洩したことにほとんど気づいていませんでした。
(影響を受けるChrome拡張機能のリストとユーザー統計[3])
Chromeストアの更新ポリシーにより、V2プラグインのサポートが徐々に停止されるため、SwitchyOmegaプラグイン[4]の公式オリジナルバージョンはV2であり、サポートされていません。
汚染された悪意のあるバージョン[5]はバージョンV3であり、その開発者アカウントは元のV2バージョンのアカウントとは異なります。そのため、このバージョンが正式にリリースされたものであるかどうかは確認できず、公式アカウントがハッキングされて悪意のあるバージョンがアップロードされたのか、あるいはV3バージョンの作者自身が悪意のある行為を行ったのかどうかも判断できません。
SlowMist セキュリティ チームは、インストールしたプラグインの ID をチェックして、それが公式バージョンであるかどうかを確認することをユーザーに推奨しています。影響を受けるプラグインがインストールされていることが判明した場合は、セキュリティ リスクを軽減するために、すぐに最新の安全なバージョンに更新するか、直接削除する必要があります。
プラグインの改ざんを防ぐにはどうすればいいですか?
ブラウザ拡張機能は常にオンライン セキュリティの弱点となってきました。プラグインの改ざんや悪意のあるプラグインのダウンロードを防ぐために、ユーザーはインストール、使用、管理の面でセキュリティ対策を講じる必要があります。
1. プラグインは公式チャンネルからのみダウンロードする
Chrome 公式ストアの使用を優先し、インターネット上のサードパーティのダウンロード リンクを信頼しないでください。
検証されていない「クラックされた」プラグインの使用は避けてください。多くの改変されたプラグインにはバックドアが埋め込まれている可能性があります。
2. プラグインの許可要求には注意する
一部のプラグインは閲覧履歴やクリップボードへのアクセスなど、不要な権限を要求する可能性があるため、権限を付与する際には注意してください。
機密情報を読み取るように要求するプラグインに遭遇した場合は、注意してください。
3. インストールされたプラグインを定期的にチェックする
インストールされているすべての拡張機能を表示するには、Chrome のアドレス バーに chrome://extensions/ と入力します。
プラグインの最終更新時間に注意してください。プラグインが長い間更新されていないのに突然新しいバージョンがリリースされた場合は、改ざんされる可能性があるので注意してください。
プラグインの開発者情報を定期的に確認してください。プラグインの開発者が変更されたり、権限が変更されたりした場合は注意してください。
4. MistTrackを使用して資金の流れを監視し、資産の損失を防ぐ
秘密鍵が漏洩した疑いがある場合は、MistTrack を使用してオンチェーン取引を監視し、資金の流れを把握することができます。
プロジェクト関係者、つまりプラグイン開発者やメンテナーは、悪意のある改ざん、サプライチェーン攻撃、OAuth の悪用などのリスクを防ぐために、より厳格なセキュリティ対策を講じる必要があります。
1. OAuthアクセス制御
承認の範囲を制限し、OAuth ログを監視します。プラグインが認証に OAuth を使用する必要がある場合は、高権限トークンの長期保存を避けるために、有効期間の短いトークン + 更新トークン メカニズムを使用するようにしてください。
2. Chromeウェブストアのアカウントセキュリティを強化する
Chrome ウェブストアは、プラグインの唯一の公式リリース チャネルです。開発者アカウントが侵害されると、攻撃者はプラグインを改ざんして、すべてのユーザー デバイスにプッシュすることができます。したがって、2FA を有効にしたり、最小権限管理を使用したりして、アカウントのセキュリティを強化する必要があります。
3. 定期的な監査
プラグイン コードの整合性は、プロジェクトの改ざん防止対策の中核であり、定期的なセキュリティ監査が推奨されます。
4. プラグインの監視
プロジェクト側は、新しくリリースされたバージョンのセキュリティを確保するだけでなく、プラグインが乗っ取られていないかをリアルタイムで監視する必要があります。問題が見つかった場合は、悪意のあるバージョンをすぐに削除し、セキュリティに関するアナウンスを発行し、ユーザーに感染したバージョンをアンインストールするように通知する必要があります。
悪意のあるコードが埋め込まれたプラグインにどう対処すればよいですか?
プラグインが悪意のあるコードに感染していることがわかった場合、またはプラグインがリスクをもたらす可能性があると疑われる場合は、ユーザーは次の対策を講じることをお勧めします。
1. プラグインをすぐに削除する
Chrome 拡張機能の管理ページ (chrome://extensions/) に移動し、影響を受けるプラグインを見つけて削除します。
残存する悪意のあるコードが引き続き実行されるのを防ぐために、プラグイン データを完全にクリアします。
2. 漏洩の恐れのある機密情報を変更する
ブラウザに保存されているすべてのパスワード、特に暗号通貨取引所や銀行口座に関連するパスワードを変更してください。
新しいウォレットを作成し、資産を安全に転送します (プラグインが暗号通貨ウォレットにアクセスする場合)。
API キーが漏洩していないか確認し、古い API キーを直ちに取り消して、新しい API キーを申請してください。
3. システムをスキャンしてバックドアやマルウェアがないか確認する
ウイルス対策ツールまたはマルウェア対策ツール (Windows Defender、AVG、Malwarebytes など) を実行します。
Hosts ファイル (C:\Windows\System32\drivers\etc\hosts) をチェックして、悪意のあるサーバー アドレスに変更されていないことを確認します。
ブラウザのデフォルトの検索エンジンとホームページを確認してください。悪意のあるプラグインによってこれらの設定が変更されることがあります。
4. アカウントの異常なアクティビティを監視する
取引所や銀行口座のログイン履歴を確認してください。異常なIPログインが見つかった場合は、すぐにパスワードを変更し、2FAを有効にしてください。
暗号通貨ウォレットの取引記録をチェックして、異常な送金がないか確認します。
ソーシャル メディア アカウントが侵害されていないかどうかを確認してください。不審なプライベート メッセージや投稿がある場合は、すぐにパスワードを変更してください。
5. さらなるユーザーが被害に遭わないように当局に報告する
プラグインが改ざんされていることに気付いた場合は、元の開発チームに連絡するか、Chrome の担当者に報告することができます。
SlowMist セキュリティ チームに連絡してリスク警告を発行し、より多くのユーザーに安全性に注意するよう促すことができます。
ブラウザ プラグインはユーザー エクスペリエンスを向上させることができますが、ハッカー攻撃の突破口となり、データ漏洩や資産損失のリスクをもたらす可能性もあります。したがって、ユーザーは利便性を享受しながらも、プラグインを慎重にインストールして管理し、定期的に権限を確認し、疑わしいプラグインをすぐに更新または削除するなど、警戒を怠らず、適切なセキュリティ習慣を身につける必要があります。同時に、開発者やプラットフォームプロバイダーも、プラグインのセキュリティとコンプライアンスを確保するために、セキュリティ保護対策を強化する必要があります。ユーザー、開発者、プラットフォームが協力してセキュリティ意識を高め、効果的な保護対策を実施することによってのみ、リスクを真に軽減し、データと資産のセキュリティを確保することができます。
関連リンク
[1] https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension
[2] https://cdn.prod.website-files.com/64deefeac57fbbefc32df53d/678690faf3f050d53afc810a_FINAL_Cyberhaven_Threat%20Intelligence%20Briefing%20%5B2025-01-13%5D.pdf
[3] https://www.extensiontotal.com/cyberhaven-incident-live
[4]https://chromewebstore.google.com/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif
[5]https://chromewebstore.google.com/detail/proxy-switchyomega-v3/hihblcmlaademjlakdpicchbjnnnkbo
