Awake Security の研究者は、Chrome ウェブストアの悪意のある拡張機能に関するレポートを公開しました。このレポートでは、1 つのマルウェア ファミリーのダウンロード数が 3,200 万回を超えているという具体的な主張と、ドメイン登録と Google ストアの両方におけるセキュリティの脆弱性という一般的な主張の両方が行われています。
研究者らは、イスラエルに拠点を置くドメイン登録業者「コミュニガル・コミュニケーション社(ガルコム)」に関連する「調査したほぼすべての企業に影響を与える大規模な世界規模の監視活動」を追跡していると述べた。
物語は、Awakeによるヒューリスティックなマルウェア検出から始まります。これは、アップロード先が稀な、あるいは既知の悪質な宛先に送られている兆候などを探すものです。その結果、合計111個の悪質なブラウザ拡張機能が発見されました。これらの拡張機能は「機密データをアップロードしたり、宣伝されているタスク(一般的にはユーザーのアクティビティやデバイスのプロパティを監視するもの)を実行しなかったりすることが判明しました」。
参考までに:Chrome拡張機能は何千種類もあり、偽のインストールでユーザーを騙して使用させようとするものが非常に多くあります
続きを読む
Awakeの報告によると、これらのうち79件はChromeブラウザ拡張機能の公式ソースであるChromeストア(現在はMicrosoftのChromiumベースのEdgeでも利用可能)で入手可能だった。Awakeによると、よくある手口は、開発者が拡張機能のクリーンなバージョンを承認してもらい、後から悪意のあるペイロードでアップデートするというものだ。
疑わしい拡張機能の中には、レビュー数やダウンロード数が安心できるものもあり、あるケースでは 22,000 件を超えるレビューと 1,000 万回のダウンロード数があり、おそらくボットの活動によって達成されたものです。
もう一つのよくある手口は、正規の拡張機能を複製し、マルウェアをバンドルするというものです。「Awakeはその後、Googleと協力してこれらの拡張機能をChromeウェブストアから削除した」と報告書には記されていますが、今後も同様の手口が出てくることは間違いありません。
ブラウザは「王国の鍵」を明らかにすることができる
研究者らが指摘する点は、企業のクラウド移行が広範に行われるということは、ビジネス活動がブラウザ内で頻繁に行われることを意味するという点だ。「したがって、ブラウザへの不正アクセスは、メールや企業ファイル共有から顧客関係管理や金融データベースに至るまで、『王国の鍵』への不正アクセスを意味することが多い」と研究者らは述べ、ブラウザ拡張機能を「新たなルートキット」と呼んでいる。
結局のところ、ブラウザだけで貴重なデータを抽出できるのであれば、オペレーティング システムに侵入する必要はありません。
ユーザーを騙して許可させることができれば、ブラウザ拡張機能は大きな力を持つ可能性があります。「許可がコンピューター上のすべてのデータとアクセスしたウェブサイトへのアクセスを必要とする場合、アプリまたは拡張機能はほぼすべてのものにアクセスできることになります。これは、ブラウザの内外にあるウェブカメラや個人ファイルにも当てはまります」とGoogleは述べています。多くの怪しい拡張機能はセキュリティユーティリティを装っていますが、実際には動作に高いレベルの権限が必要です。
Hacker News のある開発者は次のように述べている。「私はここ 1 年ほど Chrome 拡張機能をフルタイムで開発していますが、拡張機能がユーザーの機密データにどれほどアクセスできるのかは正直恐ろしいです。」
問題は、「iOSやAndroidのようなより確立されたプラットフォームでは、すべての機密性の高い権限はインストール時ではなく実行時に要求する必要があるため、開発者は要求する権限が必要な理由を説明しなければならない」ことだと彼は述べた。ブラウザ拡張機能にはそのような要件がないため、多くの開発者は、そうすることにデメリットがないため、取得できるすべての権限を要求してしまうのだ。
そのため、上位 1,000 の拡張機能のうち 80 パーセント以上がすべてのドメインへのアクセスを要求します。つまり、拡張機能は、望めば、または侵入されれば、あらゆるサイトのあらゆるデータ (電子メール、パスワードなど) を盗む力を持っているということです。
Chromeチームは、今後のアップデートで実行時に権限を要求することでこの点を改善する予定だが、現時点では「拡張機能のエコシステムはかなり壊れている」と同氏は述べた。
Chrome ストアに数百万回ダウンロードされた怪しい拡張機能(現在は削除済み)
報告書の中で最も気がかりなのは、「セキュリティなどの機能を宣伝しているが、実際にはエンドポイントやユーザーアクティビティに関する情報を Galcomm 登録ドメインに送信する以外は何もしない」拡張機能が 32,963,951 回ダウンロードされたという主張です。
特にCOVID-19パンデミックの期間中、多くのユーザーがリモートで作業しているため、ブラウザは多くの組織のセキュリティインフラストラクチャの弱点になりつつあります...
これらのダウンロードの一部は人為的なものだろうが、研究者らは「これらの拡張機能を搭載したエンドポイントの実際の数は大幅に少なくはなく、むしろ多い可能性が高いと考えている」と述べている。過小評価される可能性があるのは、拡張機能がChromeストアを経由しないウェブサイトからも読み込まれる可能性があるため、「インストール数を把握するのが困難」だからだ。
Awakeチームは、セキュリティ業界は一般的に、データを抽出するマルウェア(多くのウイルス対策製品では「PUP、アドウェア、またはグレーウェア」と分類されることが多い)に対して無関心であり、そのリスクを過小評価していると述べています。「セキュリティチームは、PUP/アドウェアを、迷惑なクーポンをポップアップ表示するアプリの一種と考えており、多くの場合、リソースの制約からPUPの検出を修復していません。これは危険な戦略です。」
Awakeは、レポートに記載されている様々な拡張子やその他のマルウェアを関連付けているレジストラであるGalcommに関するデータも提示しています。「当社の分析によると、このレジストラに登録されているドメインの約60%が、組織にとって高リスクであることが分かりました」と研究チームは主張しています。
ドメインの多くは有効期限切れ直後に登録されたため、ドメイン乗っ取りの苦情が寄せられましたが、最近登録されたドメインに基づくマルウェア検出は回避されました。これらのドメインは、マルウェアやJavaScriptのダウンロード、悪質なサイトのホスティング、ユーザーを悪質なサイトへリダイレクト、そして窃取されたデータの送信先となるなど、様々な用途で利用されています。
研究者らは、レジストラの認定を監督するICANNが、「違法行為の根拠のある報告」に迅速に対応するなどの要件をほとんど実施していないと非難した。
「ICANNからの最低限の要件さえも、Galcommは遵守していない。ICANNによる監視の欠如は、これらの規則の実施と執行に対する全般的な無関心を示しているようだ」と彼らは述べた。
Awake によると、同社の脅威研究者は「電話、メール (abuse@、security@、support@)、ウェブサイトの問い合わせフォームで Galcomm に何度か連絡を取り、「これらのドメインが現在 Galcomm がインターネット上に持つドメイン全体の約 60% を占めていることを考えると、なぜ同社がこれに気付かなかったのか」といった質問をした」という。
研究者らは、「本論文の発表時点ではGalcommからの返答はなく、同社のドメインに関連する悪意ある活動の減少も確認されていない」と付け加えた。
ガルコムは主張を否定
レジスターは幸運だった。Galcommのオーナーであるモシェ・フォーゲル氏は次のように語った。「この報告は承知しています。報告は少なくとも無責任であり、それ以上にひどいものです。不正確なデータに基づいており、彼らが確認したと主張するドメインの25%はGalcommに存在しないか、削除されています。」
「Galcommが管理しているドメインは、ほぼ全てがパークドメインであり、そのほとんどは世界最大級のドメインパーキング会社が管理しています。残りは現在も調査中です。」と彼は主張し、「さらに、Awakeは報告書を発表する前に、この問題に関する私たちのコメントや回答すら求めていません。問題のドメインは、この件について私に問い合わせてきた第三者から入手したものです。」
状況はAwakeが言うほど悪いのだろうか?「報告書からは、検出された悪質な拡張機能が、被害を受けた組織にどのような影響を与えるかは不明だ」と、セキュリティコンサルタントのブライアン・ホナン氏はThe Registerに語った。
しかし、ウェブブラウザの悪質な拡張機能を悪用した攻撃が確認されたのは今回が初めてではなく、企業はブラウザのセキュリティ管理をより積極的に行う必要があることを浮き彫りにしています。エンドユーザーが望むブラウザ拡張機能をインストールできるようにすることで、企業は潜在的な被害に遭う可能性があります。
「メール、メッセージ、コラボレーションプラットフォーム、その他の企業ツールなど、オンラインコミュニケーションがブラウザ経由で行われることが増えていることを考えると、ブラウザは多くの組織のセキュリティインフラの弱点になりつつあります。特にCOVID-19パンデミックの期間中、多くのユーザーがリモートワークを行い、仕事にブラウザをますます依存するようになっています。」
Honan 氏は、拡張機能を制御するために Google の Chrome ブラウザ クラウド管理ツールを使用することを提案しています。
元ソフォスコンサルタントのグラハム・クルーリー氏も同意見だ。「ブラウザ拡張機能は恐ろしいほど強力です。もし不正に侵入した拡張機能を使っているなら、ブラウザ内で行うすべての操作が危険にさらされていると考えておかなければなりません。」
Google と ICANN にコメントを求めており、回答があればこの記事を更新します。®
追加更新
Google の広報担当者はその後、次のように語っています。「私たちは研究コミュニティの取り組みに感謝しており、Web ストアでポリシーに違反する拡張機能の警告を受けた場合は措置を講じ、それらのインシデントをトレーニング マテリアルとして使用して、自動および手動の分析を改善します。」
「ポリシーに違反する開発者のアカウントを無効にするだけでなく、拡張機能が再び使用されないように、検出した特定の悪意のあるパターンにフラグを付けます。」
Googleはまた、Chromeウェブストアのセキュリティ強化の取り組みについて、こちらとこちら(1つは2018年、もう1つは2019年5月の投稿)も紹介している。しかし、Awakeの報告が正しければ、まだやるべきことはある。
