ブラウザ拡張機能は、何百万人ものユーザーにとって日常的に利用されるツールとなっています。 Chrome、Firefox、Edge でのエクスペリエンスを向上させます。ウェブページの翻訳、広告のブロック、パスワード管理、ブラウジングの高速化などに利用されるアドオンは、公式アプリストアから数クリックで簡単にインストールできます。この利便性ゆえに、アドオンの背後に誰がいるのか、またどのような権限を要求するのかをほとんど確認しない人が多いのです。
この見落としにより、サイバー犯罪者が拡張機能を スパイとデータの盗難のためのサイレントチャネルGhostPoster と呼ばれる最近のキャンペーンは、このベクトルがいかに危険であるかを明らかにしました。不正な拡張機能は、正当な拡張機能であるかのように統合され、一見正常に機能し、ユーザー アクティビティを監視しながら、何年もの間、疑いを抱かせずにアクティブなままでいられるのです。
GhostPoster キャンペーンとは何ですか? なぜ懸念されるのですか?
いくつかのサイバーセキュリティ企業による調査では、 KOIとLayerXMozilla Firefox、Google Chrome、Microsoft Edgeの公式拡張機能ストアを悪用した大規模な攻撃活動が発覚しました。GhostPosterキャンペーンでは、数十のアドオンが確認されており、これらを合わせると、 840.000万台以上の導入実績 この数字は、世界全体で問題の範囲を示すものです。
これらの悪意のある拡張機能は、日常的なツールを装っています。 ページ翻訳、広告ブロッカー、いわゆるVPN ダウンロードを管理するためのユーティリティやプログラムなどです。インストールされるとバックグラウンドで実行され、被害者のブラウザでの行動を監視し、閲覧データにアクセスし、場合によっては 機器の遠隔操作を可能にする後部ドア.
特に心配なのは、これらの拡張機能の多くが長い間公式カタログで利用可能であったことです。つまり、 Chromeウェブストア、Firefoxアドオン、Edgeストアのレビューフィルターを通過しています公開された分析によると、一部のキャンペーンは2020年から活動しており、大きな混乱もなくキャンペーンが継続的に活動し続けることができているという。
ゴーストポスターでは、専門家も より進化した回避型 単体で3.800件以上のインストール実績を誇るこの亜種は、制御を回避し、一見正当な拡張機能に紛れ込む能力に長けており、ユーザーが何かがおかしいことに気づきにくくなっています。
GhostPosterの背後にある悪意ある拡張機能の仕組み
Chrome、Firefox、Edgeのブラウザ拡張機能はソフトウェアと深く統合されており、 ウェブページのコンテンツを読み取って変更するこれには、Cookie、閲覧履歴へのアクセス、そして場合によってはオペレーティングシステムとのやり取りが含まれます。拡張機能が適切に設計されている場合、これらすべては便利な機能を提供するために役立ちます。しかし、悪意のある拡張機能の場合、同じアクセスが攻撃者にとって精密兵器となります。
ゴーストポスターの場合、重要なのは、有害な要素が巧妙に隠蔽されていることです。調査によると、このキャンペーンの責任者は 拡張機能アイコンの PNG 画像内に JavaScript コードの一部を隠します。ステガノグラフィーと呼ばれるこの技術では、一見無害なファイルに情報をカモフラージュできるため、一見すると通常のロゴしか見えませんが、内部には後で実行されるコードが含まれています。
この隠しコードは拡張機能がインストールされると有効になり、 ユーザーの活動をリアルタイムで監視するアクセスされたページ、入力されたフォーム、利用されたサービスなどを記録し、認証情報やセッショントークンといった機密情報を傍受することもあります。場合によっては、最終的に…という追加のモジュールをダウンロードすることもあります。 影響を受ける機器にバックドアを開く攻撃者がリモートから接続できるようになります。
サイバー犯罪者はステガノグラフィーを使用することで、拡張機能ストアの自動レビュー中に悪意のあるコンポーネントが比較的気付かれないようにします。 分析システムは通常、目に見えるコードと宣言された動作をレビューしますしかし、攻撃の真の核心が単純な画像の中に隠されていることに気付かない可能性があります。このアプローチは、不正なプラグインの流通を抑制しようとするプラットフォームにとって、より困難を増すことになります。
さらに、GhostPosterにリンクされているアドオンは、類似していると主張する正規ツールの機能を非常に忠実に模倣しています。例えば、ページ翻訳や基本的な広告ブロック機能などを提供し、それが正規ツールの感覚を強めています。ユーザーが便利な拡張機能を使用していると信じている限り、 バックグラウンドでは、攻撃者が制御するサーバーに向けて絶え間なく情報が生成されています。.
キャンペーンの発見におけるKOIとLayerXの役割
GhostPosterスキャンダルは一夜にして起こったわけではない。 12月、セキュリティ会社KOIのアナリストは 調査チームは、Mozilla Firefoxの公式ストアで公開された17個の悪意のある拡張機能を最初に検出しました。いずれも一般的なユーティリティを探しているユーザーを標的としており、合計で50.000万回以上ダウンロードされています。
その後すぐに、サイバーセキュリティ企業LayerXが調査を続け、 同様のアドオン17個の別のパック Microsoft EdgeとGoogle Chromeのカタログを通じて配布されました。これらの新たな検出により、GhostPosterに関連するインストール数は3つのブラウザ全体で84万件を超え、世界的に大きな影響を与えるキャンペーンとなりました。
公表された報告書には、 これらの拡張機能はすべて共通の行動パターンを持っていた 非常に類似した技術的構造から、これらは同一の組織的計画の一部であると結論付けられました。特定された目的には、リアルタイムの航行監視、大量データ収集、機器へのバックドアの密室導入などが含まれていました。
分析の中で、KOIとLayerXは、ゴーストポスター作戦は孤立した事件ではなく、むしろ 数年にわたって持続された戦略 拡張機能エコシステムを悪用するためです。研究者らは、大量のインストールと遅い検出の組み合わせにより、攻撃者は十分な攻撃の余地を残したままアクティブなキャンペーンを維持できていると強調しています。
専門家によると、ブラウザベンダー自身も複雑な課題に直面している。 人気のあるサービスを模倣した悪質なツールを検出する自動化された制御とレビュー プロセスは存在しますが、経験上、GhostPoster に見られるような高度な隠蔽戦術を採用する拡張機能を阻止するには必ずしも十分ではないことが分かっています。
背後にいるのは誰か:ダークスペクターグループと彼らの過去のキャンペーン
調査では、サイバーセキュリティ分野の著名な人物が指摘されている。 ダークスペクターこのグループは長年、ブラウザ拡張機能を使用してマルウェアを配布しており、GhostPoster と技術リソースやインフラストラクチャを共有する ShadyPanda や The Zoom Stealer などの以前の活動にも関与しているとされています。
収集されたデータによると、Darkspectre は時間をかけてその戦術を洗練させてきました。 以前の攻撃では、一見信頼できるチャネルを通じて侵入することに特別な関心があることがすでに示されていました。公式アクセサリーショップのような。ゴーストポスターは、その意味で、すぐに警戒心を抱かせることなくリーチを最大化することを目指す一連の取り組みの進化形と言えるだろう。
LayerXは、GhostPoster、ShadyPanda、The Zoom Stealerで使用されているインフラストラクチャを追跡することで、 これらの脅威の技術的進化を記録する研究者たちは、ドメイン、サーバー、コードフラグメントがさまざまな攻撃で再利用され、プラットフォームによって実装されたセキュリティ対策に合わせてツールが適応される様子を観察しました。
セキュリティ会社が最も心配する要素の一つは ダークスペクターに関連する拡張機能の中には、2020年からアクティブなまま残っているものがあると報告されている。 検出されることなく、攻撃は継続されます。この持続性は、攻撃者の巧妙さと、自動レビューシステムの限界を浮き彫りにしています。自動レビューシステムは、グラフィックアイコンなどの通常とは異なるコンポーネントに隠された悪意のあるパターンを必ずしも特定できるとは限りません。
報告書はまた、運用の観点から、 GhostPosterは高度に洗練された回避技術に依存しているこれらの対策には、コンポーネントの装填を遅らせること、特定の航行条件下でのみ起動すること、そして指揮統制サーバーとの秘密通信を利用することなどが含まれます。これらはすべて、ノイズを低減し、レーダーに可能な限り長く捕捉されないことに貢献します。
拡張機能はますます一般的な攻撃ベクトルとなっている
GhostPoster以外にも、専門家は拡張機能が サイバー犯罪者の繰り返しの標的これらの人気と、公式ストアから提供されているという信頼性により、それらは、ユーザーに何も疑われずに悪意のあるソフトウェアをこっそりと侵入させる理想的な経路となります。
多くの場合、被害者がこれらのアドオンをダウンロードするのは 魅力的で無料の機能を約束しているこれらの拡張機能は、煩わしい広告の削除、プライバシーの向上、ブラウザの高速化、反復タスクの自動化などに役立ちます。問題は、一度権限を付与すると、拡張機能が再度認証を要求することなく、かなりの量の情報にアクセスできることです。
GhostPosterのようなキャンペーンは、拡張機能がいくつかの約束を果たしたとしても、 秘密活動を行っている可能性があるつまり、プラグインは広告をブロックしたりページを翻訳したりすることはできますが、同時に閲覧データを収集したり、資格情報を傍受したり、外部サーバーと通信して新しい指示をダウンロードしたりすることもできます。
画像ステガノグラフィーなどの技術の使用や難読化されたコードの実行は、分析作業を大幅に妨げます。 従来のセキュリティシステムは既知のパターンを探す傾向があるしかし、悪意のあるコードがグラフィック ファイルに隠れていたり、さまざまなコンポーネント間に小さな部分で分散されていたりすると、識別がはるかに複雑になります。
このシナリオでは、ブラウザ開発者と拡張機能ストアの両方が 検証メカニズムを強化する専門家は、特に短期間で多数のインストールを達成する拡張機能については、公開後の拡張機能の実際の動作をより深く自動分析し、手動監査を行い、より綿密に監視する必要があると指摘しています。
ヨーロッパのユーザーへの影響と基本的な推奨事項
GhostPosterキャンペーンは世界規模で展開されているが、 スペインやその他のヨーロッパのユーザーにも影響する英国では、Chrome、Firefox、Edgeが家庭や職場環境におけるブラウザのほぼすべてを占めています。近年、翻訳拡張機能、広告ブロッカー、VPNなどをインストールした人は、アドオンが悪意のあるリストに載っていた場合、感染の危険にさらされていた可能性があります。
欧州当局と対応チームはKOIやLayerXなどの企業からの報告書を参考にしている。 アラートを更新し、 コンピュータのセキュリティ基準一般的に推奨されるのは、インストール済みの拡張機能を定期的に確認し、使用されなくなったものや出所が不明なものはアンインストールすることです。一度使っただけで忘れ去られたアドオンが、ブラウザへのアクセスを許したまま蓄積されていくことは珍しくありません。
リスクを軽減するために専門家は次のようにアドバイスしている。 認定された組織によって開発された拡張機能を優先する評価とユーザー数を確認し、単一のパッケージで過剰な機能を謳うソリューションには注意が必要です。また、インストール前に要求される権限を確認することをお勧めします。特に、アドオンがすべての閲覧データへのフルアクセスを要求しているにもかかわらず、それが必ずしも必要ではないように見える場合は注意が必要です。
ビジネス分野では、ブラウジングは機密情報や社内サービスへのアクセスを伴うことが多いため、欧州の組織は、 企業のコンピュータで使用できる拡張機能を制御する一般的な対策としては、許可されたアドオンのホワイトリストの作成、集中監視、ブラウザのアクティビティを監視できるセキュリティ ソリューションの使用などが挙げられます。
潜在的に悪質な拡張機能をインストールした疑いのある個人ユーザーに対して、専門家は アドオンを削除し、信頼できるウイルス対策ソフトでスキャンを実行します。 疑問が残る場合は、サイバーセキュリティの専門家に相談してください。GhostPosterのような複雑なキャンペーンでは、システムに追加のマルウェアがインストールされている場合、マルウェアをアンインストールするだけでは不十分な場合があります。
ゴーストポスター事件は、 公式拡張機能ストアを盲目的に信頼するのは危険です未知のウェブサイトからのダウンロードに対しては、依然として最も安全なチャネルであることに変わりはありませんが、経験上、セキュリティ対策は万全ではなく、攻撃者はその対策に適応する方法を知っていることが分かっています。ユーザーによるより厳格な利用、より厳格な審査プロセス、そしてセキュリティ企業による継続的な監視を組み合わせることが、今後同様の攻撃を抑止する鍵となるでしょう。
