Mozilla からアドオン開発者への警告:認証情報の窃取を目的とするフィッシング・メール

Mozilla Warns of Phishing Attacks Targeting Add-on Developers Account

2025/08/04 CyberSecurityNews — Mozilla が発令したのは、AMO (addons.mozilla.org) アカウントを標的とする、巧妙なフィッシング攻撃について通知する、開発者コミュニティへ向けた緊急のセキュリティ・アラートである。2025年8月1日に、Scott DeVaney が率いる Mozilla セキュリティ・チームは、開発者の認証情報を窃取しようとする動きについて報告した。具体的に言うと、開発者向けの機能へのアクセスを維持するためには、アカウントの更新が必要であると主張する、サイバー犯罪者からの偽の電子メールが配信されているという情報である。

主要なポイント
  • Mozilla は、アドオン開発者を標的とするフィッシング・メールを検出した。
  • これらの偽メールは、”mozila” などの悪意のドメインを使用し、SPF/DKIM/DMARC 認証チェックを通過しないものである。
  • 認証情報の入力は、正規ドメインである mozilla.org/firefox.com に限るべきだ。
Mozilla アドオン開発者が標的

この攻撃は、Mozilla の公式通知を模倣する、巧妙な電子メールにより行われている。その内容として含まれるのは、「開発者向け機能へのアクセスを継続するには、Mozilla アドオン・アカウントの更新が必要である」といった複数のメッセージである。

これらのフィッシング攻撃は、Firefox のエクステンション/アドオンの主要配信チャネルである、AMO プラットフォームにおける公開権限の維持に対する、開発者の関心を悪用するものだ。

正当な通信と偽の通信を開発者が識別する上で有用な、いくつかの技術的指標を、セキュリティ研究者たちが解説している。

  • 正規の Mozilla メールは、firefox.com/mozilla.org/mozilla.com ならびに、それらのサブドメインなどの認証済みドメインからのみ送信される。
  • これらのメールは、SPF (Sender Policy Framework)/DKIM (DomainKeys Identified Mail)/DMARC (Domain-based Message Authentication, Reporting, and Conformance) などの、主要なメール認証プロトコルを通過する。

被害に遭った開発者から提供された証拠によると、一連のフィッシング・メールには疑問点が明白に存在していたという。たとえば、”mozilla” ではなく “mozila” と綴られるドメイン名が用いられており、受信者が警戒すべき兆候として挙げられる。

これらの明白な問題が存在していても、このフィッシング・キャンペーンは少なくとも1件の開発者アカウントの侵害に成功している。被害を受けた開発者は、「フィッシングに騙されたが、すぐに詐欺であることに気付き、エクステンションを削除した」と述べている。

Mozilla からの推奨事項

Mozilla のセキュリティ・アドバイザリが強調するのは、多層的保護アプローチの重要性である。また、疑わしい通信に直面した開発者にとって必要なことは、厳格な検証手順の実施であると指摘している。

Mozilla が開発者に対して推奨するのは、Mozilla を名乗るメールに埋め込まれたリンクのクリックを避けることであり、mozilla.org/firefox.com ドメインへのダイレクトな アクセスを行うよう呼びかけている。

また、重要なセキュリティ・プロトコルとして挙げられるのは、メール内リンクが Mozilla の認証済みドメインに限られていることを事前に確認し、認証情報の入力は公式 Web サイトでのみ実施することである。

さらに Mozilla は、フィッシング詐欺の検知/報告に関する追加リソースとして、米国連邦取引委員会 (FTC) および、英国の国家サイバーセキュリティ・センター (NCSC) のガイダンスを開発者に紹介している。

この事例が浮き彫りにするのは、信頼性の高いエクステンション・プラットフォームを通じて、サイバー犯罪者が開発者アカウントを標的とし、悪意あるコードを配布しようとする活動の高まりである。現状における、この種の活動の増加により、Web Extensions 開発者および Mozilla エコシステム全体が、大きな脅威に直面している。

Mozilla アドオンの開発者を強敵とするフィッシング攻撃は、”アカウントの更新が必要” というメッセージで、開発者の不安を煽る内容となっています。正規なものに見せかける “mozila” といった偽ドメインや、不十分なメール検証といった、悪意の兆候がありますが、攻撃者にとって狙いやすいポイントなのでしょう。開発者の方々は、十分に ご注意ください。よろしければ、Phishing で検索も、ご参照ください。