Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?

Chromium Browsers Allow Data Exfiltration via Bookmark Syncing

2022/08/02 DarkReading — ブックマーク同期機能は、最新のブラウザの標準機能となっている。この機能により、インターネット・ユーザーは、1つのデバイスで行ったブックマークへの変更を、すべてのデバイスで同時に反映させることができる。しかし、この便利なブラウザの機能は、サイバー犯罪者にとっても便利な攻撃経路となることが分かっている。つまり、ブックマークを悪用して、企業環境から大量のデータを吸い上げても、攻撃ツールや悪意のペイロードを忍び込ませても、ほとんど発見される心配がないのだ。


SANS Technology Institute の学術研究者である David Prefer は、攻撃者がブラウザの機能を悪用して、侵害した環境からデータを抜き出すなどの、悪意の行動に関する幅広い研究の一環として、この問題を発見をした。

最近の技術論文の中で Prefer は、このプロセスを、ブラウザとスマグリングの合成語である bruggling と表現している。この新しいデータ流出ベクターは、同氏が作成した Brugglemark と呼ばれる PowerShell PoC スクリプトで実証されたものだ。

Brugglemark の示すもの

Prefer は、「同期処理に弱点や脆弱性があるわけではない。この論文では、ブックマークに好きな名前を付けて、サインインした他のデバイスに同期させることができること、そして、その非常に便利で役立つ機能が、意図しない形でねじ曲げられ、悪用される可能性があることに焦点を合わせている」と指摘している。

敵対者は、事前にリモート環境/物理環境にアクセスする必要があり、すでに対象となる環境に侵入し、流出させたいデータを収集しているはずだ。そして、その環境にいる正規のユーザーから盗んだブラウザの同期認証情報を使うことが可能になる。また、独自のブラウザ・プロファイルを作成し、同期されている別のシステムで対象ブックマークにアクセスし、データにアクセスして保存することができる、と Prefer は述べている。攻撃者は、同じ手法で悪意ペイロードや攻撃ツールを、標的環境に忍び込ませることができる。

この技術の利点は、簡単に言えばステルス性である。

SANS Institute の研究部長である Johannes Ullrich は、ブックマーク同期によるデータ流出は、ほとんどの検出ツールを回避する方法を、攻撃者に提供すると述べている。大半の検知ツールにとって、このトラフィックは、Google などのブラウザ・メーカーへ向けた、通常のブラウザ同期トラフィックとして判別される。Ullrich は、「ツールは、トラフィックのボリュームを見ない限り、それを見ることはできない。このトラフィックは、すべて暗号化されているので、DNS over HTTPs などの “living off the cloud” テクニックと同じようなものだ」と述べている。

プラクティスにおける bruggling

現実の世界で、どのように攻撃が行われるかについて、攻撃者が企業環境に侵入し、機密文書にアクセスした場合の例を、Prefer は挙げている。ブックマーク同期を利用して、データを流出させる攻撃者は、対象となるデータをブックマークとして保存できる形式に変換する必要がある。そのためには、データを base64 形式にエンコードし、テキストを個別のチャンクに分割して、そのチャンクを個別のブックマークとして保存すればよい。

試行錯誤の結果として Prefer は、最近のブラウザでは、かなりの数の文字を1つのブックマークとして保存できることを発見したが、実際の数はブラウザにより異なる。たとえば、Brave ブラウザでは、たった2つのブックマークで Brave New World 全体を、高速で同期できることが分かった。その一方で、Chrome では 59個のブックマークが必要だったという。また、ブラウザのプロファイルを変更することで、一度に 20万ものブックマークを同期させることが可能なことも確認された。

テキストがブックマークとして保存され同期されると、攻撃者は他のデバイスからブラウザにサインインしてコンテンツにアクセスし、コンテンツを組み立て直し、base64 から元のテキストにデコードするだけでよい。

Prefer は、「この手法で、どのようなデータを流出させられるかについては、敵の創造性次第だと思う」と述べている。

Prefer による調査の主な対象は、ブラウザ市場シェアトップの Google Chrome である。また、Edge/Brave/Opera などの、Chromium ベースのブラウザも、サブの対象となっている。しかし、Firefox や Safari などのブラウザで、bruggling が機能しない理由はないと、彼は指摘している。

その他のユースケース

Prefer は、「重要なことは、このように悪用できるブラウザの機能は、ブックマーク同期だけではないということだ。同期に使われるブラウザの機能には、同じように悪用が可能なものが沢山あるが、調査と研究が必要だ。例として、オートフィル/エクステンション/ブラウザ履歴/保存されたパスワード/プリファレンス/テーマなどが挙げられるが、これらは全て同期させることが可能だ。少し調べれば、これらの悪用方法も分かるかもしれない」と述べている。

Ullrich によれば、「Prefer の論文は、ブラウザ・エクステンションの同期が、データ流出やコマンド&コントロールに利用できることを示した、先行する研究に触発されたものだ。しかし、この方法では、悪意のブラウザ・エクステンションがインストールされている必要があった」と述べている。

脅威を軽減する

プリファーは、グループポリシーを使用してブックマーク同期を無効にすることで、データ流出のリスクを軽減できると述べている。また、同期にサインインできるメールドメインの数を制限し、攻撃者が自分のアカウントを使って同期を行うことができないようにすることも考えられる。

彼は、「ユーザー組織で、すでに行われている [Data loss protection] DLP モニタリングも、この問題に適用できる」と述べている。

Ullrich は、「ブックマーク同期が低速で行われると、あまり上手くいかない。しかし、20万以上のブックマークを同期させること可能で、2万〜3万のブックマーク同期で、若干の速度低下が見られる程度であれば、そこには大きな価値が生じる」と述べている。

Prefer は、「一連のブラウザ・メーカーたちは、たとえば、アカウントの経過時間や、新しいロケーションからのログインなどの要因に基づき、ブックマーク同期を動的に調整することで、攻撃を困難にできる。同様に、Base64 エンコーディングを含むブックマークや、過剰なタイトルや URL を持つブックマークについては、同系を制限することも可能だ」と述べている。

ブラウザのブックマーク同期は、すでに不可欠な機能と思う方が多いと思います。Chrome では、それ以外にも、オートフィル/エクステンション/ブラウザ履歴/保存されたパスワード/プリファレンス/テーマなどが、自動的に同期されます。考えてみれば、ブラウザほど、広範なデバイス・タイプ上で、多様なデータを共有しているアプリケーションはなく、その意味で特殊なアプリケーションになっています。とても便利になってきたブラウザですが、便利なものには、落とし穴があるという、警鐘を鳴らす良い記事ですね。

%d bloggers like this: