追加のソフトウェアクライアントなしで利用できるオンラインサービスがますます増えています。その秘密は、それらすべてがインターネットブラウザ内で直接実行されることです。これらのブラウザは時代とともに進化し、何千もの異なる目的のために拡張機能を追加する機能を提供しています。しかし、サイバー犯罪者は既に数年前からこの状況を利用しており、その勢いは止まりそうにありません。カスペルスキーはこの特定の脅威に関する新たなレポートを発表しました。
ブラウザ拡張機能のダウンロード
ブラウザ拡張機能(アドオンとも呼ばれる)は、ChromeウェブストアやFirefoxアドオンウェブサイトなどの公式マーケットプレイスやブラウザプロバイダーのリポジトリからダウンロードされることがほとんどです。これらのプラットフォームでは通常、拡張機能が無害かマルウェアの可能性があるかをチェックするプロセスが用意されていますが、熟練したマルウェア開発者の中には、これらのチェックを回避してしまう者もいます。2020年には、ユーザーデータの窃盗、スクリーンキャプチャの取得、さらにはウェブフォームからのクレジットカード情報の窃盗に使用されていた106個のブラウザ拡張機能がChromeウェブストアから削除されました。
しかし、アドオン開発者の中には、自分の Web サイトで自分の作品を提供し、ブラウザーでアドオンのダウンロードとインストールを許可している人もいます。
ブラウザ拡張機能:リスク
悪意のあるアドオンについて言及しなくても、一部の拡張機能はユーザーに害を及ぼす可能性があります。ユーザーが訪問したウェブページから大量のデータを収集し、そのデータを閲覧した人の完全なプロフィールを作成し、場合によってはユーザーについて過剰な情報を得ることさえあります。これらのデータは、アドオン開発者によって広告主やその他の第三者に共有または販売される可能性があります。最悪の場合、データは匿名化されずに、生のまま販売されることもあります。
もう一つのリスクは、アドオンがインストールされると、エンドユーザーの操作を必要とせずにアップデートされる可能性があることです。つまり、CopyFishアドオンのように、正当なアドオンが突然侵害され、マルウェアを拡散し始める可能性があります。開発者がツールの開発を断念し、それを売却したり、別の開発者に譲渡したりして、マルウェアに改造されてしまう可能性もあります。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
悪意のあるアドオンの統計
カスペルスキーは2020年1月から2022年6月までのデータを分析し、この脅威に関する指標を提供しました。
2020年以降、同社は6,057,308人のユーザーに対して悪意のあるアドオンのダウンロードをブロックしており、そのほとんどは2020年に発生しています(図A)。
図A
グラフからわかるように、2022 年上半期はすでに 2021 年全体のレベルにほぼ達しており、年末にはさらに増加する可能性があります。
悪意のあるペイロード
ブラウザ拡張機能を介して拡散する最も一般的な脅威はアドウェアです。アドウェアは、ユーザーがウェブサイトを閲覧している際にブラウザに不要な広告を表示するコードを拡張機能内に組み込んでいます。これらの広告は、アフィリエイトプログラムによってプッシュされ、より多くの潜在顧客をウェブサイトに誘導することを目的としています(図B)。
図B
カスペルスキー社の研究者は、ブラウザ拡張機能の脅威全体の約 70% をアドウェアが占めていると指摘しています。
2番目に蔓延している脅威はマルウェアです。ほとんどのマルウェアは、認証情報、Cookie、クリップボードにコピーされたデータの窃取を目的としています。この種のマルウェアの主な用途は、ウェブサイトの有効な認証情報やクレジットカード情報の窃取ですが、サイバースパイ活動にも利用される可能性があります。2020年から2022年にかけて、260万人のユニークユーザーがマルウェアのダウンロード試行に遭遇しました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
脅威の例
Kaspersky は悪意のある拡張機能の例をいくつか提供していますが、そのうち 2 つは特に目立っています。
ウェブ検索
2022年上半期では、WebSearchが最も多く利用された脅威となり、876,924人のユニークユーザーに影響を与えました。この脅威は、.DOCから.PDFへのファイル変換ツールやドキュメント結合ツールなど、ドキュメント操作ツールを模倣しています。
ユーザーのブラウザのスタートページを変更し、サードパーティのリソースへのリンクを提供します。これらのリソースへの遷移はアフィリエイトリンクを通じて行われます。Kasperskyの記述によると、「ユーザーがこれらのリンクを頻繁にクリックするほど、拡張機能開発者の収益は増加します。」
デフォルトの検索エンジンも、クエリをキャプチャして収集し、分析して、検索結果で関連するパートナー サイトを宣伝できるように変更されます (図 C)。
図C
賢い点は、アドオンはユーザーがインストールした目的の機能(通常は PDF コンバーター)を引き続き提供するので、ユーザーはアドオンをアンインストールしないということです。
Chrome ウェブストアでは入手できませんが、サードパーティのリソースからダウンロードすることは可能です。
FBスティーラー
悪意のあるブラウザ拡張機能の中で最も危険なものの一つが、現在FB Stealerです。これは、検索エンジンを変更するだけでなく、FacebookのCookieを盗むことを目的としています。このCookie窃取により、攻撃者は被害者のFacebookアカウントにログインし、アカウントを完全に制御することが可能になります。多くの場合、パスワードを変更して正当なユーザーを追放し、その後、アカウントを別の詐欺行為に利用します。FB Stealerは、ユーザーではなく、マルウェアによってブラウザにインストールされます。
ユーザーは、多くの場合、クラックされたソフトウェアインストーラーに偽装されたNullmixerマルウェアをダウンロードして感染します。実行すると、FB Stealerブラウザ拡張機能マルウェアがコンピューターにひっそりとインストールされます。
これらの脅威からどのように保護すればよいでしょうか?
ブラウザを常に最新の状態に保ち、パッチを適用することをお勧めします。また、すべてのブラウザデータをセキュリティ製品で分析することを強くお勧めします。
悪意のあるアドオンのほとんどは、完全に動作するために追加の権限を必要とします。ユーザーは、インストールする新しいアドオンが要求する権限を常に慎重に検討する必要があります。
悪意のあるアドオンは、公式ウェブストアのようにセキュリティをチェックする人がいないサードパーティのリソースを通じて配布されることが多いため、アドオンは信頼できるソースからのみダウンロードする必要があります。
最後に、ユーザーはインストールした拡張機能を定期的に確認し、本当に必要かどうかを確認する必要があります。必要でない場合は、アンインストールする必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
