ブラウザの拡張機能を無効化？ ポリモーフィック攻撃の高度な手口：セキュリティニュースアラート

SquareXはWebブラウザ拡張機能を模倣する新たなサイバー攻撃「ポリモーフィック拡張機能」について発表した。正規の拡張機能を無効化し、ユーザーの認証情報を窃取する高度な攻撃であることが判明している。

[後藤大地，有限会社オングス]

　SquareXは2025年3月1日（現地時間）、Webブラウザの拡張機能に対する新たな脅威として「ポリモーフィック拡張機能」（Polymorphic Extensions）に関する調査結果を発表した。このサイバー攻撃はユーザーがインストールした他の正規の拡張機能を完全に模倣し、情報窃取など不正な目的で利用される可能性がある。

高度な模倣でユーザー情報を盗むポリモーフィック拡張機能　その詳細は？

　SquareXによればポリモーフィック拡張機能は被害者のWebブラウザにインストールされている正規の拡張機能（パスワードマネジャーや仮想通貨ウォレットなど）と同じアイコンやUIを再現し、ユーザーの認証情報を窃取する攻撃を指す。攻撃の間は本物の拡張機能を一時的に無効化することで、ユーザーが偽の拡張機能に気が付くことを困難にする能力を持つとされている。具体的な攻撃の流れは以下の通りだ。

• 偽の拡張機能の配布：　攻撃者はAIマーケティングツールなどの無害に見える拡張機能としてポリモーフィック拡張機能を「Chrome Web Store」に公開し、ユーザーにインストールさせる
• 標的の特定：　「chrome.management API」や「Web Resource Hitting」を使用して拡張機能が被害者のWebブラウザにインストールされているパスワードマネジャーや仮想通貨ウォレットなどの重要な拡張機能を検出する
• なりすまし：　被害者が対象の拡張機能を利用しようとした際に本物を無効化し、偽の拡張機能を表示。ユーザーが偽物と気が付かずにログイン情報を入力するとその情報が攻撃者に送信される
• 被害拡大：　取得した認証情報を悪用し、パスワードマネジャーの乗っ取りや仮想通貨の不正送金、銀行アプリへの不正アクセスなどを実行する

　SquareXは具体的な攻撃手法としてパスワードマネジャーを狙ったケースを紹介している。ただしターゲットはパスワードマネジャーに限らず、金融系アプリや開発ツールなど他の機密情報を扱う拡張機能が標的になる可能性がある。さらにこの攻撃では「Google Chrome」（以下、Chrome）をはじめとする「Chromium」ベースのWebブラウザ（「Microsoft Edge」など）に共通する脆弱（ぜいじゃく）性が悪用されている。

　この攻撃はChromeの正規の機能を悪用するため、単純なパッチ適用では解決できない可能性が高いと指摘されている。そのためChromeに対して拡張機能のアイコン変更やHTMLの変更が発生した際にユーザーに通知する仕組みを導入するよう提言している。

　拡張機能のインストール時に細心の注意を払うことや権限リクエストが不審な拡張機能を避けること、拡張機能の動作を動的に監視するセキュリティツールの導入や拡張機能の変更履歴の定期的な確認といった対策が推奨されている。