Chrome エクステンションに新たな脅威:ポリモーフィック手法で機密情報を盗み出す

New Polymorphic Chrome extensions fake others to steal your data

2025/03/10 ghacks — Chrome の最初のバージョンがリリースされてから、17 年ほどが経つが、その間に私たちが目にしてきたものに、悪意のエクステンションがある。そのラインナップには、偽の VPN エクステンションから、洗練されたセッション・リプレイ・マルウェア・エクステンションにいたるまで、あらゆるものが揃っている。そして、この記事で説明するのは、ポリモーフィック・エクステンションと呼ばれる、新しい悪意の拡張機能のことだが、それが、いま、ユーザーを攻撃するために使用されている。

ポリモーフィック・エクステンションとは、他の拡張機能のアイコンと動作を偽装して、ユーザー・データを盗み出すものである。一見すると、それらは正規のエクステンションのように動作する。つまり、何らかの機能を提供する、無害なエクステンションのように見える。ただし、その真の目的は、ユーザーのブラウザにインストールされている他の拡張機能を偽装して、データを盗み出すことにある。

他のエクステンションに偽装して、ユーザー・データにアクセス

SquareX Labs のセキュリティ研究者たちが、新しいタイプのマルウェアを発見した。侵害のプロセスは常に同じであり、合法的に見えるが悪意の Chrome エクステンションのインストールから始まる。それらは、公式 Chrome Web ストアや他のチャネルを介してインストールされるはずだ。

この種の悪意のエクステンションは、アイコンを Chrome ツールバーにアイコンを固定するようユーザーに求める。それ自体は、数多くの正規のエクステンションでも、すばやく機能にアクセスするために要求されるものだ。

こうしてインストールされた悪意のエクステンションは、その広告どおりに機能するが、その一方では、ユーザーがインストールしている、他のエクステンションをスキャンしていく。標的として挙げられるのは、パスワード・マネージャー/バンキングなどの、機密性の高いデータにアクセスすると思われる正規のエクステンションである。

Chrome には、なんらかのエクステンションからの、他のインストール済みエクステンションの列挙を防くセキュリティ機能が実装されているが、その制限を克服する手法もある。研究者たちによると、対象とするエクステンションが使用する、特定の Web リソースの解析という方法があるという。

こうして、目的のエクステンションを見つけ出すと、悪意のコードが実行され、正当なエクステンションへの成りすましが行われる。SquareX Labs のセキュリティ研究者たちは、パスワード・マネージャー・エクステンションを攻撃する際のシナリオを示している。

ユーザーがログイン・フォームのある Web ページにアクセスすると、悪意のエクステンションによる一時的なパスワード・マネージャーの無効化が行われ、Chrome ツールバーのパスワード・マネージャー・アイコンの偽装が達成される。続いて、HTML プロンプトが、パスワード・マネージャーへの新しいログインを要求する。それは、パスワード・マネージャーから送信されたように見える。

しかし、ユーザーが入力する認証情報と、脅威アクターへと渡されてしまう。続いて、悪意のエクステンションはアイコンを再変更し、パスワード・マネージャーを再有効化する。こうして、オリジナルの状況が復元され、正規のパスワード・マネージャーがパスワード・フィールドへの入力を受け取り、ユーザーをサインインさせるため、起こってしまったことを検出するのが困難になる。

このようなシナリオで資格情報を入手した脅威アクターは、ユーザーのパスワード・ボールトにアクセスし、データを取得する可能性を手にする。

研究者たちが強調するのは、ポリモーフィック・エクステンションで実行される可能性のある、いくつかの主要な攻撃例である:

  • 暗号通貨ウォレットを介した暗号通貨の不正転送
  • バンキング・アプリを介した不正な取引
  • 生産性ツールを介した、機密文書/メールの監視/書込/送信
  • 開発者ツールを介した、コードベースの不正な読取/変更

この、新しいタイプの悪意のエクステンションについて、SquareX から Google へ報告が成されている。ポリモーフィック・エクステンションに対する直接的な防御策が存在しないため、Chrome エクステンションをインストールする前の、ユーザーによる検証が重要となる。

また、別の方法として、アクティビティごとに別種のプロファイルやブラウザを使用することも可能なはずだ。最高のセキュリティが求められるタスクには、特定のブラウザまたはプロファイルを使用するという方式である。それにより、通常のブラウジング・セッションからアクティビティは分離され、セキュリティが強化される。

あなたは、エクステンションをインストールする前に、検証しているだろうか?

このブログにも、度々登場してきた Chrome 悪意のエクステンションですが、ポリモーフィック手法を用いた新しいタイプのエクステンションが登場しました。公式 Chrome Web ストアからもダウンロード出来てしまうというのが、恐ろしい点です。なお、Chrome は、2025年に入ってから Manifest V3 への段階的な移行を進めています。よろしければ、以下の関連記事も、Chrome + Extension で検索と、併せてご参照下さい。

2025/02/25:Firefox における Manifest V2 のサポート継続
2025/02/21:Chrome の段階的な Manifest V3 移行が開始
2024/08/16:Chrome Manifest v2 エクステンション:延命策は?
2024/06/01:Google の Manifest V3 移行