クローム拡張機能にマルウェア大量検出、仮想通貨関連のドメインも

スパイドメイン大量検出、仮想通貨関連も。

米のサイバーセキュリティ企業Awake Securityがレポートを発表、世界中でスパイ行為や情報盗難を行うドメインが数多く検出されたと警告している。

その中には、cryptolimited.org、bitcoincompass.info、cryptomoedas.info、cryptocoiners.net、bitcoininvestmentstrategy.infoなど、仮想通貨やビットコインに関連するドメインも含まれており、信頼が保証されていないサイトを閲覧する時には注意が必要だ。

特にイスラエルのドメイン登録業者GalCommを通じて登録された約2.6万件のドメインのうち、約60%が悪意のある、またはその疑いがあるマルウェアやスパイツールの宿主となっていることが判明。

疑わしいWebサイトについてユーザーに警告するように見せかけたり、ファイル変換ソフトウェアを装ったりするものの、実際にはデータを盗んでいたアドオンも多い。

過去3か月だけでも、Awake SecurityはGalCommドメインを使用した、111個の不正なChrome拡張機能を収集していた。

これらの拡張機能は、スクリーンショットの取得、クリップボードの読み取り、Cookieまたはパラメーターに保存されている資格情報トークンの取得、ユーザーのキーストローク(パスワードなど)の取得を行うことができるものだったという。

少なくとも、これらの拡張機能のダウンロードは3200万回以上行われており、この数が2020年5月時点でクロームのwebストアで入手可能だった分だけであることを考えると、実際にはもっと多くの回数ダウンロードされていたと推測される。

これらのChrome拡張機能は、金融サービス、石油やガス、メディア・エンターテイメント、医療と製薬、小売、ハイテク、高等教育、政府機関などのネットワークに幅広く存在していた。

グーグルが対処

これらのマルウェアはセキュリティプロキシ、ウイルス対策システムなどに検知されることなく、ユーザーをスパイしていたと考えられる。

このことは、ユーザーが排除するサイトを選択できるフィルタリング/ブロック方式を使用して不正な拡張機能を提供するか、ユーザーのデバイスに悪意のあるプラグインを含むパッケージをデフォルトのブラウザーとしてロードし、不正な拡張機能をインストールすることによって行われていた可能性がある。

これらの拡張機能の出所は現在のところ不明である。GalCommのオーナーは、ロイター通信に対し、会社は悪質な活動には関与していないと述べたという。

グーグルはこの報告を受けて、webストアから数十の不正な拡張機能を削除。これからもグーグルのポリシーに違反する拡張機能が発見された場合は対処を行い、またそれらの事象をトレーニング資料として使用して、分析機能を改善していくと方針を示した。

新型コロナを持ち出す手口も

仮想通貨関連の詐欺も近年多く観察されており、ブロックチェーン分析企業CipherTraceによると、今年1月から5月までの間で盗難やハッキング、詐欺の被害に遭った仮想通貨の総額は、13.6億ドル(約1450億円)に上ると発表している。比率としては詐欺や横領が大半を占めた。

また今年特有の手口としては、新型コロナウイルスに関係した詐欺が出現している。

赤十字社などの著名プラットフォームを装って、個人情報を入手したり、仮想通貨の支払いを要求するという。サイトからチャットルームに誘導し、ビットコイン(BTC)の支払いを要求する手法も多く見られた。

拡張機能をダウンロードしたり、仮想通貨で決済や寄付を行う際には、今一度その安全性を確かめてから行いたい。


画像はShutterstockのライセンス許諾により使用