Chrome拡張機能のセキュリティ問題が再発:SwitchyOmegaは秘密鍵を盗むリスクがあると非難されています

最近、一部のユーザーは、Chromeブラウザ用の有名なプロキシスイッチングプラグインであるSwitchyOmegaが、秘密鍵を盗むセキュリティリスクがある可能性があると報告しています。 調査の結果、このセキュリティ問題が発生したのはこれが初めてではなく、昨年という早い時期から関連する警告が出されていたことがわかりました。 ただし、一部のユーザーはこれらの警告に注意を払わず、リスクの高いプラグインバージョンを使用し続ける可能性があるため、秘密鍵の漏洩やアカウントの乗っ取りなどの深刻な脅威に直面しています。 この記事では、プラグインの改ざんについて詳細に分析し、プラグインの改ざんを防ぐ方法や悪意のあるプラグインへの対処方法について説明します。

イベントの振り返り

この事件は2024年12月24日の攻撃調査に最初に起因しています。ある会社の従業員がフィッシングメールを受け取った後、彼が公開したブラウザプラグインに悪意のあるコードが埋め込まれ、ユーザーのブラウザのCookieやパスワードを盗んで攻撃者のサーバーにアップロードしようとしました。専門のセキュリティ会社の調査によると、Googleのプラグインストアには、Proxy SwitchOmega (V3)を含む30以上のプラグインが同様の攻撃を受けています。

フィッシングメールは、同社がリリースしたブラウザ拡張機能がGoogleの条件に違反していると主張し、すぐに行動を起こさない場合はアドオンを削除すると脅迫しています。 緊急性から、従業員はメール内のフィッシングリンクをクリックし、「プライバシーポリシー拡張機能」と呼ばれるOAuthアプリケーションを承認しました。 OAuthの主なリスクは、攻撃者がOAuthアプリケーションにアクセスすると、パスワードを必要とせずに被害者のアカウントをリモートで制御し、アプリケーションデータを変更できることです。

攻撃者はChromeアプリストアのアカウントの制御を取得した後、悪意のあるコードを含む新しいバージョンの拡張機能をアップロードし、Chromeの自動更新メカニズムを利用して、影響を受けたユーザーが知らないうちに悪意のあるバージョンに自動更新されるようにしました。

悪意のあるプラグインには2つの重要なファイルが含まれており、その中のworker.jsファイルはコマンドおよびコントロールサーバーに接続し、設定をダウンロードしてChromeのローカルストレージに保存します。その後、content.jsからのイベントをリスニングするリスナーを登録します。この悪意のあるバージョンの拡張機能(のバージョン番号は24.10.4)で、12月25日午前1時32(UTC)にオンラインになり、12月26日午前2時50(UTC)に撤回され、存在時間は合計31時間です。この期間中、この拡張機能を実行しているChromeブラウザは自動的に悪意のあるコードをダウンロードしてインストールします。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-4c9dff28f3c951e9858c8b7d6f7bd73b.webp)

セキュリティ会社の調査報告によると、これらの攻撃を受けたプラグインはGoogleストアでの累計ダウンロード数が50万回を超え、260万以上のユーザーのデバイスから敏感なデータが盗まれ、ユーザーにとって大きなセキュリティリスクをもたらしています。これらの改ざんされた拡張機能はGoogle Chromeアプリストアに最大18ヶ月間掲載されており、その間に被害を受けたユーザーは自分のデータが漏洩していることにほとんど気づくことができませんでした。

Chromeストアの更新方針により、V2バージョンのプラグインが徐々にサポートされなくなってきていますが、SwitchyOmega公式のオリジナルプラグインはV2バージョンであるため、サポート外となっています。汚染された悪意のあるバージョンはV3バージョンで、その開発者アカウントはオリジナルのV2バージョンのアカウントとは異なります。したがって、このバージョンが公式にリリースされたものかどうか確認できず、公式アカウントがハッキングされた後に悪意のあるバージョンがアップロードされたのか、またはV3バージョンの作者自身に悪意のある行為があったのかを判断することもできません。

セキュリティ専門家は、インストールされているプラグインのIDをチェックして、それが公式バージョンであるかどうかを確認することをユーザーに推奨しています。 影響を受けるプラグインをインストールしたことがわかった場合は、セキュリティリスクを軽減するために、すぐに最新のセキュリティバージョンに更新するか、直接削除する必要があります。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-4251b55bde2d20e012d55c2fe8b76306.webp)

プラグインの改ざんを防ぐには？

ブラウザ拡張機能は常にネットワークセキュリティの弱点です。悪意のあるプラグインへの改ざんやダウンロードを避けるために、ユーザーはインストール、使用、管理の3つの側面からセキュリティ対策を講じる必要があります。

1.公式チャンネルからのみプラグインをダウンロードします

• Chromeの公式ストアを優先的に使用し、オンラインのサードパーティのダウンロードリンクを軽信しないでください。
• 検証されていない「クラック版」プラグインの使用を避けてください。多くの改造版プラグインにはバックドアが仕込まれている可能性があります。

2. プラグインの権限要求に注意する
   • 注意して権限を付与してください。一部のプラグインは、ブラウジング履歴やクリップボードなどの不必要な権限を要求することがあります。
   • プラグインが機密情報の読み取りを要求した場合は、必ず警戒を高めてください。

3.インストールされているプラグインを定期的にチェックします

• Chromeのアドレスバーにchrome://extensions/と入力して、インストールされているすべての拡張機能を確認します。
• プラグインの最近の更新日時に注意してください。プラグインが長期間更新されていない場合、突然新しいバージョンがリリースされたら、改ざんされる可能性があるため警戒する必要があります。
• プラグインの開発者情報を定期的に確認し、プラグインが開発者を変更したり、権限が変更されたりした場合は注意してください。

4.専門的なツールを使用して、資金の流れを監視し、資産の損失を防ぎます

• 秘密鍵が侵害された疑いがある場合は、専門的なツールを使用してオンチェーントランザクションを監視し、資金の流れをタイムリーに理解できます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-0d985041e03763c9f71cc47441f5bc40.webp)

プロジェクト側にとって、プラグインの開発者および維持者として、悪意のある改ざん、サプライチェーン攻撃、OAuthの悪用などのリスクを防ぐために、より厳格なセキュリティ対策を講じるべきです。

1. OAuthアクセス制御
   • 権限の範囲を制限し、OAuthログを監視します。プラグインがOAuthを使用して認証する必要がある場合は、可能な限り短命トークン(Short-lived Token) + リフレッシュトークン(Refresh Token)メカニズムを使用し、高権限トークンの長期保存を避けてください。

2.Chromeウェブストアアカウントのセキュリティを強化します

• Chrome Web Storeはプラグインの唯一の公式リリースチャネルであり、一度開発者アカウントが侵害されると、攻撃者はプラグインを改ざんしてすべてのユーザーのデバイスにプッシュすることができます。したがって、アカウントのセキュリティを強化する必要があります。たとえば、2FAを有効にし、最小権限管理を使用することです。

3. 定期監査

   • プラグインコードの整合性は、プロジェクトチームの改ざん防止の中核であり、定期的なセキュリティ監査を実施することをお勧めします。

4. プラグインの監視

   • プロジェクトチームは、リリースされた新しいバージョンのセキュリティを確保するだけでなく、プラグインが乗っ取られたかどうかをリアルタイムで監視し、問題が見つかったらすぐに悪意のあるバージョンを削除し、セキュリティ速報を発行し、感染したバージョンをアンインストールするようにユーザーに通知する必要があります。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)

どのようにしてマルウェアが埋め込まれたプラグインを処理しますか？

プラグインが悪意のあるコードに感染していることが発覚した場合、またはプラグインにリスクがあると疑われる場合は、ユーザーに以下の対策を講じることをお勧めします：

1.プラグインをすぐに削除します

• Chrome拡張機能の管理ページ(chrome://extensions/)にアクセスし、影響を受けたプラグインを見つけて削除してください。
• プラグインのデータを完全に消去して、悪意のあるコードが残り続けるのを防ぎます。

2. 漏洩する可能性のある機密情報を変更する

   • ブラウザに保存されているすべてのパスワードを変更してください。特に暗号通貨取引所や銀行口座に関連するパスワードです。
   • 新しいウォレットを作成し、資産を安全に移動します（プラグインが暗号ウォレットにアクセスした場合）。
   • APIキーが漏洩していないか確認し、すぐに古いAPIキーを取り消して、新しいAPIキーを申請してください。

3. システムをスキャンし、バックドアやマルウェアがないか確認する

   • ウイルス対策ソフトウェアやマルウェア対策ツール（Windows Defender、AVG、Malwarebytesなど）を実行します。
   • Hostsファイル(C:\Windows\System32\drivers\etc\hosts)をチェックし、悪意のあるサーバーアドレスに変更されていないことを確認してください。
   • ブラウザのデフォルトの検索エンジンとホームページを確認してください。悪意のあるプラグインがこれらの設定を改ざんすることがあります。

4. アカウントに異常な活動がないか監視する

   • 取引所と銀行口座のログイン履歴を確認し、異常なIPログインを見つけた場合は、パスワードを変更してすぐに2FAを有効にする必要があります。
   • 暗号ウォレットの取引履歴をチェックして、異常な送金がないか確認します。
   • ソーシャルメディアアカウントが侵害されていないか確認し、通常とは異なるメッセージや投稿がある場合はすぐにパスワードを変更してください。

5. 公式にフィードバックし、より多くのユーザーが被害を受けるのを防ぐ

   • プラグインが改ざんされていることが判明した場合は、元の開発チームに連絡するか、Chromeに報告できます。
   • セキュリティチームに連絡して、リスク警告を発表し、より多くのユーザーに安全に注意を促すことができます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-7765950926df374a50ead853f995c6f3.webp)

ブラウザプラグインはユーザー体験を向上させることができますが、それと同時にハッカー攻撃の突破口になる可能性もあり、データ漏洩や資産損失のリスクをもたらします。したがって、ユーザーは便利さを享受しながらも警戒を怠らず、プラグインの慎重なインストールと管理、権限の定期的な確認、疑わしいプラグインの迅速な更新または削除など、良好なセキュリティ習慣を身につける必要があります。同時に、開発者やプラットフォーム側も安全対策を強化し、プラグインの安全性と適法性を確保すべきです。ユーザー、開発者、プラットフォームが共同で努力し、安全意識を高め、効果的な防護策を実施することでのみ、真にリスクを低減し、データと資産の安全を保障することができます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-79cda6aad1b8373145d89f5169d1faf1.webp)

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)