More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
この調査では、一般にインストールされているエクステンションの 51% が高リスクであり、それらを使用している組織に甚大な損害を与える可能性があることが示された。これら全てのエクステンションは、企業アプリからの機密データの取得や、悪意の JavaScript の実行が可能なだけではなく、銀行口座情報やログイン認証情報をなどの、保護されたデータを秘密裏に外部へ送信する機能を持っていた。
Spin.AI が評価した大半のエクステンション (53%) は、生産性に関連する機能を提供するものだった。その一方で、セキュリティとプライバシーの観点からみると、クラウド・ソフトウェア開発環境で使用されている、ブラウザ・エクステンションが最悪であり、その 56% が高セキュリティ・リスクを持つと、Spin は評価している。
今週に発表されたレポートの著者の一人である Davit Asatryan は、「このレポートから、組織が得られる主な教訓は、ブラウザのエクステンションに関連する深刻なサイバー・セキュリティ・リスクである。これらのエクステンションは、ユーザー・エクスペリエンスや生産性を向上させる各種の機能を提供する。その一方で、Chrome や Edge などのブラウザに保存されているデータや、Google Workspace や Microsoft 365 などのプラットフォームに保存されている、SaaS データに対して深刻な脅威をもたらす可能性がある」と述べている。
その一例として、ある脅威アクターがアップロードした、合法的な ChatGPT ブラウザ・アドオンを装うエクステンションがあるが、その実態は Facebook アカウントを乗っ取るトロイの木馬だった。何千人ものユーザーが、このエクステンションをインストールし、その直後に Facebook アカウントの認証情報が盗まれている。その時に侵害されたアカウントには、数千の企業アカウントも含まれていた。
このインシデントを受けて、Google は直ちに兵器化したエクステンションを、公式の Chrome Store から削除した。しかし、他の悪意の ChatGPT エクステンションが、自由にアップロードされるのを止めることはできなかった。この8月に Spin は、Chrome Web Store で 200 種類以上の ChatGPT エクステンションを発見しが、5月の時点では僅か 11種類だったという。
緩い管理
Spin の分析によると、従業員 2,000人以上の組織では、平均で 1,454 種類のエクステンションがインストールされているという。その中で最も多かったのは、生産性/開発ツール/アクセシビリティなどのためのエクステンションだった。それらのエクステンションの 35% が高リスクであったのに対し、従業員 2,000人未満の組織では、27% が高リスクだったという。
Spin のレポートから得られた驚くべき視点として、作成者が匿名であるエクステンションが 42,938件もあり、潜在的なセキュリティの落とし穴を考慮せずに、自由に使用されているように見えることが挙げられる。悪意のある人であっても、誰もが簡単にエクステンションを公開できることを考えると、この統計は、とても気になると、Davit Asatryan は指摘している。さらに問題を深刻にしているのは、組織が使用しているブラウザ・エクステンションが、公式マーケットプレイス以外からも調達されているケースもあるという現実だ。
Asatryan は、「また、企業における内部使用のために独自のエクステンションが構築され、それがアップロードされることもある。しかし、このようなソースから得られるエクステンションは、公式ストアで公開/入手が可能なレベルでの、精査やセキュリティ・チェックを経ていない可能性があるため、さらなるリスクが生じることになる」と述べている。
Spin が発見したものには、すでにブラウザが危殆化しているケースや、自動アップデートにより悪意の性質を取得するケースもある。このような事態が生じるのは、攻撃者が組織のサプライチェーンに侵入し、正規のアップデートに悪意のあるコードを挿入した結果である。また、開発者がエクスプロイトをサードパーティに販売し、そのサードパーティが悪意のアップデートを行うこともあるという。
Asatryan は、「組織が考慮すべき、もう1つの要因は、ブラウザのエクステンションが、アクセス許可を使用して予期しない動作を引き起こす可能性である。たとえば、あるエクステンションが “ID” パーミッションを取得し、”webrequest” パーミッション用いて、機密情報をサードパーティに送信するようなケースである」と述べている。
組織にとって重要なことは、サードパーティのリスク管理フレームワークに基づき、ポリシーを策定/実施することだと、同氏は指摘する。組織が行うべきことは、運用/セキュリティ/プライバシー/コンプライアンス上のリスクについて、エクステンションやアプリケーションを評価し、組織のポリシーに基づき、エクステンションを許可/不許可するための自動制御の実装を検討することだ。
Asatryan は、「ユーザー組織に対して推奨されるのは、ブラウザのエクステンションをインストールする前に、それらが要求する権限の範囲/開発者の評判/セキュリティ監査/コンプライアンス監査などの要因を考慮し、それぞれのエクステンションを評価することである。定期的なアップデート/メンテナンスだけではなく、ユーザー・レビューおよび評価や、データ漏洩やセキュリティ・インシデントの履歴も重要である」と締め括っている。
Chromium ベースの Google Chrome や Microsoft Edge における、エクステンションの問題の深刻さが伝わってくる記事です。つい先日の 2023/08/20 には、「Google Chrome Check for Extension:マル・エクステンションを判定してくれる」という記事がありましたが、今日の記事と合わせて読むと、状況が把握しやすくなります。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.