この Google Chrome ブラウザ拡張機能攻撃は、認証 Cookie を侵害しました。
2024 年 12 月 30 日更新: 12 月 29 日に最初に公開されたこのストーリーには、2FA バイパス セッション Cookie 侵害がどのように機能するかについての説明と、Chrome の悪意のある拡張機能攻撃の軽減に関するセキュリティ専門家からのアドバイスが含まれています。
ハッカーは休暇をとりません。これは、12 月中旬に遡り、季節休暇中も続く Google Chrome ブラウザ拡張機能の一連の侵害によって証明されています。現在進行中の Google Chrome の 2 要素認証バイパス攻撃について知っておくべきことはすべてここにあります。
最新の Google Chrome ブラウザ拡張機能攻撃の説明
ロイター通信が12月27日に報じたように、「ハッカーが一連の侵入で複数の異なる企業の Chrome ブラウザ拡張機能を侵害した」脅威アクターは Chrome 拡張機能を攻撃手法として使用することは新しいことではありません、しかし、この最新のキャンペーンの範囲は、ハッカーがセッション Cookie を盗み、2 要素認証保護をバイパスするという決意を示しているように見えます。
複数の企業とその Chrome 拡張機能をターゲットにした、組織的で広範なキャンペーンのように見えるキャンペーンのほんの一部にすぎませんが、危険にさらされているユーザーの総数はおそらく数百万人に達すると思われます。セキュリティ会社 Cyberhaven に対する攻撃は、企業顧客だけでも約 40 万人を対象とするこのような攻撃の潜在的な危険性を説明し、それらに迅速に対応することがいかに重要であるかについての洞察を提供するため、注目に値します。
データ攻撃検出およびインシデント対応会社のハワード・ティン最高経営責任者(CEO)はセキュリティ警告の投稿で「クリスマスイブに発生した悪意のあるサイバー攻撃を確認し、サイバーヘイブンのChrome拡張機能に影響を与えた」とセキュリティ警告の投稿で述べた。この事件と、お客様を保護し損害を軽減するために当社が講じている措置について説明します。」
Cyberhaven Chrome 拡張機能攻撃
Cyberhaven の顧客に対する攻撃は 12 月 24 日に始まり、フィッシングの脅威により従業員が侵害されることに成功しました。重要なのは、これには、攻撃者が Google Chrome Web ストアにアクセスできるようにする認証情報の侵害が含まれていることです。 「攻撃者はこれらの認証情報を使用して、当社の Chrome 拡張機能の悪意のあるバージョンを公開しました」と Ting 氏は認めました。この悪意のある拡張機能は 12 月 25 日遅くまで発見されず、その後 60 分以内に削除されました。
あ 事前調査 この攻撃の結果、最初のアクセス経路は、Cyberhaven の Chrome 拡張機能の登録済みサポート メールに送信された、開発者をターゲットとしたフィッシング メールによるものであることが明らかになりました。 Cyberhaven は、このような初期攻撃がどのようなものであるかを他の人に警告するために、この電子メールを公開しました。
Cyberg=haven 拡張機能攻撃を開始したフィッシングメール
被害者がリンクをクリックすると、「プライバシー ポリシー拡張機能と呼ばれる悪意のある OAUTH Google アプリケーションを追加する」ための Google 認証フロー内にいることになったとサイバーヘブンは述べています。これは Google.com でホストされており、サードパーティの Google アプリケーションへのアクセスを許可するための標準プロセスの一部であり、この場合、悪意のあるアプリケーションを誤って承認してしまいました。 「この従業員はGoogle Advanced Protectionを有効にしており、自分のアカウントをカバーするMFAを持っていた」とCyberhavenは述べた。多要素認証のプロンプトは受信されず、従業員の Google 認証情報は攻撃によって侵害されませんでした。その後、公式 Cyberhaven Chrome 拡張機能のクリーンな以前のバージョンに基づく悪意のある拡張機能 (24.10.4) が Chrome ストアにアップロードされました。
Chrome 拡張機能攻撃 – 2FA バイパスの説明
2 要素認証は依然として資格情報検証のセキュリティ保護において重要な層ですが、それは攻撃に対して無敵であるという意味ではありません。人々は、SMS テキスト メッセージによる 2FA のようなものだけが傍受される可能性があり、コードを生成する認証アプリの使用が特効薬であると誤って考えていることがよくあります。ほとんどの人にとってアプリは 2FA を使用するより強力な方法であり、SMS コードは 2FA 保護がないよりはまだ優れていますが、攻撃者は依然としてこの認証層をバイパスする可能性があります。実際には、正確にはバイパスするのではなく、クローンを作成します。攻撃者は、どのような方法であっても、認証情報が入力される本物のように見えるログイン ページに被害者をリダイレクトします。 2FA コード入力部分に関しては、中間者攻撃手法を使用して、正しいコードが入力されたときに作成されるセッション Cookie がキャプチャされ、後で使用できるように保存されます。この Cookie は、そのユーザー セッションに適切に承認されたものとしてフラグを立てるという、文字通りの動作を行います。もちろん、攻撃者がその Cookie のコピーを持っている場合は、好きなときにそのセッションを再実行でき、引き続き認証されたユーザーとして認識される可能性があります。
Chrome 拡張機能 2FA バイパス攻撃 – 影響と範囲
Ting 氏によると、Cyberhaven Chrome 拡張機能攻撃の影響と範囲は次のとおりです。
影響を受けた Chrome 拡張機能の唯一のバージョンは 24.10.4 で、悪意のあるコードはクリスマスの日からボクシング デーまでの間のみ活動していました。攻撃期間中に自動更新された Chrome ベースのブラウザを使用している顧客のみが影響を受けると考えられます。
ただし、侵害された拡張機能を実行していたブラウザについては、「Cookie が流出し、特定の標的となった Web サイトのセッションを認証できた可能性がある」ことを Cyberhaven は確認しました。初期調査では、標的となったログインはソーシャルメディア広告とAIプラットフォームであったことが示唆されている。
「私たちの調査により、CI/CD プロセスやコード署名キーを含む他の Cyberhaven システムが侵害されていないことが確認されました」と Ting 氏は述べています。
2FA バイパス攻撃を軽減する方法 — そして Cyberhaven Chrome 拡張機能インシデントに対応する方法
と 連邦捜査局 10 月 30 日には、サイバー犯罪者による 2FA アカウント保護を回避するためのセッション Cookie の盗難について人々に警告しましたが、これらの攻撃のリスクを認識して軽減する時期は過ぎています。 Googleの広報担当者は、「このような攻撃に対抗するための保護手段は数多くあり、その中にはフィッシングやその他のソーシャルエンジニアリング攻撃の影響を大幅に軽減するパスキーも含まれる」と述べ、「Googleの調査によると、セキュリティキーは自動化されたボットや大量のフィッシングに対してより強力な保護を提供することが示されている」と述べた。 SMS、アプリベースのワンタイム パスワード、その他の従来の 2 要素認証形式よりも攻撃、および標的型攻撃を軽減します。」
問題の 1 つは、従業員がシングル サインオンや認証画面をクリックしてスルーすることが多く、未知のサードパーティ アプリに権限を付与してしまう可能性があることです。 SquareX創設者のヴィヴェク・ラマチャンドラン氏はこう語った。。 「サーバー側では、承認されていない限り、危険な OAuth スコープを要求するアプリを禁止することで、これを防ぐことができます。ホワイトリストの作成は必ずしも現実的であるとは限らず、生産性が低下する可能性がありますが、クライアント側のブラウザ検出/応答ツールが介入する可能性があります。」
この特定の攻撃に関しては、完全な透明性を理由に、影響を受けることがわかっていない顧客とともに、影響を受けた顧客にもサイバーヘイブンから通知を受けました。悪意のある Chrome 拡張機能は Chrome ウェブストアから削除され、安全なバージョン 24.10.5 が自動的に展開されました。 「影響を受ける期間中に Chrome 拡張機能のバージョン 24.10.4 を実行しているお客様には、拡張機能がバージョン 24.10.5 以降に更新されていることを確認することを強くお勧めします。」と Ting 氏は述べています。私は Google に声明を求めました。
