Chrome 侵害キャンペーン：複数の悪意の Extension で持続的な連携攻撃を展開

Five Chrome Extensions Used to Hijack Enterprise HR and ERP Systems

2026/01/19 gbhackers — Socket の Threat Research Team は、Workday／NetSuite／SAP SuccessFactors などのエンタープライズ向け HR／ERP プラットフォームを標的とする、組織的かつ連携型の Chrome エクステンションを用いた一連の攻撃活動を発見した。確認された 5 件の悪意のエクステンションは、合計で 2,300 回以上インストールされており、相互に連携することでセッション・トークンの窃取／セキュリティ制御の遮断／セッション・ハイジャックを通じた完全なアカウントの乗っ取りを可能にしている。

4 件のエクステンションは、databycloud1104 という開発者名で公開されている。その一方で、5 件目の Software Access では異なる名称が用いられているが、インフラ／コードパターン／標的プラットフォームを共有しており、同一の運用主体によるものであることが強く示唆される。生産性向上ツールやアクセス制御ツールを装う 5 件のエクステンションの裏側には、認証情報の窃取機能とインシデント・レスポンス妨害機構が実装されている。

これらのエクステンションは、プレミアムな企業向けツールへのアクセスを効率化し、複数の HR／ERP アカウントを管理するツールとして販売されている。DataByCloud 2 の掲載ページには、アカウントカード／金額表示／ACCESS TOOL ボタンを備えた洗練されたダッシュボードが示されており、複数の Workday／NetSuite アカウントを適切に管理できるように見せかけている。Tool Access 11 などのエクステンションは、特別なツールへのアクセス制限や、アカウントを危険にさらす可能性のある管理機能への到達の防止を主張し、脅威ではなくセキュリティ強化ツールであるかのように位置付けている。

しかし、これらのエクステンションは、企業プラットフォームへ接続するための標準的な権限を要求しながら、プライバシー・ポリシーではデータを収集／使用しないという虚偽の記載を行っている。実際の解析結果で確認されたものには、積極的な Cookie 抽出や、未開示のネットワーク経由によるデータ流出に加えて、セキュリティ／インシデント・レスポンス・ページを標的とした遮断などがある。

三段構えの攻撃チェーン

Socket のキャンペーン分析によると、5 件のエクステンション全体で、3 種類の攻撃を連携させている。

1. Cookie 流出と永続的セッション監視

DataByCloud Access／Data By Cloud 1／Software Access は、Workday／NetSuite／SAP SuccessFactors の認証トークンを保持している __session Cookie を抽出する。これらのエクステンションは、対象ドメインのすべての Cookie を取得し、__session を選別して値をデコードした上で、”api.databycloud[.]com”／”api.software-access[.]com” 上で攻撃者が管理する API に 60 秒ごとに送信する。Cookie 変更リスナーと Chrome アラームを組み合わせることで、ユーザーがログアウトや再ログインを行った場合でも、新しいトークンが継続的に収集される。

2. 管理ページ遮断と IR 抑止

Tool Access 11／Data By Cloud 2 は、DOM 操作を通じて Workday 上の重要な管理ページおよびセキュリティ・ページへのアクセスを遮断する。XPath を用いて特定のページ見出しを検知し、即座に document.body.innerHTML の内容を消去した後に不正な URL へリダイレクトすることで、認証ポリシー／セッション制御／パスワード変更／アカウント無効化／MFA デバイス管理／セキュリティ監査ログへのアクセスを阻止する。

したがって、ユーザーが被害に気づいて設定を変更しようとしても、エクステンションがブラウザの表示内容を物理的に消去／改竄するため、ブラウザを奪われた状態に陥っている。

MutationObserver による厳密なループと、定期的なページ再読み込みにより、この遮断は動的コンテンツ／長時間セッション／Workday のサンドボックス環境などにおいて維持される。

3. Cookie 双方向注入とセッション・ハイジャック

Software Access は、単なる認証情報の窃取に留まらず、直接的なアカウント乗っ取りを可能にする。すでに窃取されている Cookie を C2 サーバから受信したエクステンションは、それらを解析した後に chrome.cookies.set() を用いて攻撃者のブラウザに注入する。これにより、パスワードや MFA 検証を経ることなく被害者の認証済みセッションを引き継ぐことが可能となり、攻撃者のブラウザは企業向け HR／ERP アカウントにアクセスするインスタント・コンソールとなる。

これらのエクステンションが共有するのは、同一のセッション抽出ロジック／セキュリティツール検知リスト／API パス (/api/v1/mv3) であり、単一のオペレーターがモジュール化されたツールセットを運用していることが示唆される。2 件のバリアントには、開発者のツールを検知して妨害するために、DisableDevtool ライブラリが組み込まれている。Software Access には、パスワード・フィールドがプレーン・テキストへ変換されるのを防止するロジックも追加されており、セキュリティ解析を直接的に妨害している。

これらのエクステンションは企業向けを装っているが、その関連ドメインは典型的な使い捨てインフラの特徴を示している。”databycloud[.]com”／”software-access[.]com” のルート・ドメインは、いずれも 404 エラーまたは SSL ハンドシェイク失敗を返し、C2 (Command-and-Control) 通信に用いられる API サブドメインのみが稼働している。約束されているプレミアムツールを裏付ける、正規の製品／ドキュメント／サポート体制は確認されていない。

企業への影響と現在の状況

すでに Socket は、Google Chrome Web Store のセキュリティ・チームに対して削除要請を提出している。

ユーザー企業に対して推奨されるのは、環境全体での Chrome エクステンションの監査／該当ファミリに一致するエクステンションの削除／関連する C2 (Command-and-Control) ドメインのブロック／侵害されていないクリーンなシステムからの認証情報リセットの速やかな実施である。

注意すべきは、パスワード変更／アカウント無効化／セキュリティポリシー調整／サインオン履歴確認といった操作が、ブラウザ内で密かに無効化される点である。この記事の執筆時点において、5 件のエクステンションは引き続き調査中である。

このエクステンション・クラスターは、継続的な Cookie 窃取／インシデント・レスポンス妨害／自動化されたセッション・ハイジャックを組み合わせている。それにより、セキュリティチームが不審なアクセスを検知できた場合であっても、通常の制御手段では是正できない状況を生み出している。

企業で使われる Workday や SAP といった人事／会計のシステムを狙い、きわめて悪質なブラウザ・エクステンションが見つかりました。この問題が深刻とされる原因は、便利に見える管理ツールなどを装いながら、裏側ではブラウザの権限を悪用して複数の攻撃を連携させているところにあります。

具体的には、システムの利用に必要なセッション Cookie という大切な合言葉を 1 分ごとに盗み出すだけでなく、ユーザーがパスワード変更やログアウトを行おうとする管理画面そのものを、プログラムで強制的に書き換えて開けなくしていました。さらに、盗んだ情報を攻撃者のブラウザに自動で流し込むことで、パスワードや二要素認証 (MFA) をバイパスしてアカウントを丸ごと乗っ取ってしまう仕掛けにもなっていました。

これらの悪意のエクステンションは、公式ストアから削除されても個人のブラウザには残るため、”Software Access” や “DataByCloud” といった名前のエクステンションに心当たりがある場合には、すぐに削除して安全な端末からパスワードをリセットする必要があるとのことです。よろしければ、Extension での検索結果も、ご参照ください。