週末にかけて、ブラウザ拡張機能をターゲットにし、悪意のあるコードを挿入してユーザーの資格情報を盗む大規模な攻撃キャンペーンがニュースの見出しを飾っています。現在、200 万人を超えるユーザーのインストール ベースを持つ 25 以上の拡張機能が侵害されていることが判明しており、顧客は現在、そのエクステンションの解明に取り組んでいます (悪意のある拡張機能からの保護に携わる企業の 1 つである LayerX は、無料の拡張機能を提供しています)組織のリスクを監査および修復するサービス – サインアップをクリックする ここ)。
ブラウザ拡張機能を標的とした攻撃はこれが初めてではありませんが、ブラウザ拡張機能によってもたらされる脅威と組織にもたらすリスクという点で、このキャンペーンの範囲と洗練度は大幅に向上しています。
攻撃の詳細が公表されたため、ユーザーと組織は、この攻撃とブラウザ拡張機能全般に対するリスクを評価する必要があります。この記事は、組織がブラウザ拡張機能によってもたらされるリスク、この攻撃の影響、組織を保護するために実行できる措置を理解できるようにすることを目的としています (詳細な概要については、「 詳細なガイド 悪意のあるブラウザ拡張機能に対する保護について)。
ブラウザ拡張機能は Web セキュリティの弱い部分です
ブラウザ拡張機能はブラウジング エクスペリエンスのいたるところに普及しており、多くのユーザーは、スペルを修正したり、割引クーポンを見つけたり、メモをピン留めしたり、その他の生産性向上のためにこのような拡張機能を頻繁に使用しています。しかし、ほとんどのユーザーは、ブラウザ拡張機能には日常的に広範なアクセス権限が付与されており、それらの権限が悪者の手に渡った場合に重大なデータ漏洩につながる可能性があることを認識していません。
拡張機能によって要求される一般的なアクセス許可には、Cookie、ID、閲覧データ、テキスト入力などの機密ユーザー データへのアクセスが含まれており、ローカル エンドポイントでのデータ漏洩やユーザー ID の資格情報の盗難につながる可能性があります。
多くの組織では、ユーザーがエンドポイントにインストールするブラウザ拡張機能を制御しておらず、企業アカウントの資格情報の盗難は組織レベルでの漏洩やデータ侵害につながる可能性があるため、これは組織にとって特にリスクです。
新たな、より危険な脅威:
この攻撃キャンペーンによる余波はまだ進行中であり、侵害された拡張機能はまだ発見されていますが、すでに注目できる点がいくつかあります。
- ブラウザ拡張機能が主要な脅威の表面になりつつある。複数の拡張機能をターゲットにしたこのキャンペーンは、ハッカーが多くの権限に付与された広範なアクセスと、多くのユーザーが操作している誤ったセキュリティ意識に注目し、データ窃盗の手段としてブラウザ拡張機能を明示的にターゲットにしていることを示しています。
- GenAI、生産性、VPN 拡張機能が特にターゲットにされました: 影響を受ける拡張機能のリストは、VPN、データ処理 (メモ作成やデータ セキュリティ、AI 対応拡張機能など) を処理する拡張機能が主に標的となったことを示しています。これが、これらの拡張機能の人気が高い傾向にあるため (したがって、到達範囲の点で攻撃者にとってより魅力的であるため) なのか、それともこれらの拡張機能に付与されているアクセス許可が攻撃者が悪用したいためなのかを判断するのは時期尚早です。
- Chrome ストアの公開拡張機能が公開される。 Chrome ウェブストアのブラウザ拡張機能の発行者をターゲットにしたフィッシング キャンペーンの結果、拡張機能が侵害されたようです。誰をターゲットにするかについての詳細は、明らかに Web ストア自体から収集されたもので、そこには電子メール アドレスを含む拡張機能作成者の詳細が含まれています。 Chrome ウェブストアは拡張機能の最もよく知られたソースですが、それだけではなく、一部のエンタープライズ グレードの拡張機能は直接デプロイされています。
組織を保護する方法:
多くのユーザーや組織はブラウザ拡張機能に関連する潜在的なリスクを認識していませんが、身を守るために講じることができる重要な行動がいくつかあります。
- すべての拡張機能を監査する: 多くの組織は、環境にインストールされているすべての拡張機能の全体像を把握していません。多くの組織では、ユーザーが使用したいブラウザーを使用し、必要な拡張機能をインストールすることを許可しています。ただし、すべてのユーザーのすべてのブラウザ上のすべての拡張機能の全体像がなければ、組織の脅威の表面を理解することは不可能です。このため、すべてのブラウザ拡張機能の完全な監査が、悪意のある拡張機能から保護するための基本要件となります。
- 拡張機能を分類する: この攻撃キャンペーン (主に生産性、VPN、AI 拡張機能をターゲットとしたもの) が示すように、一部の拡張機能カテゴリは他の拡張機能カテゴリよりも脆弱性の影響を受けやすくなっています。その理由の 1 つは、特定の種類の拡張機能の人気があり、その広範なユーザー ベース (さまざまな生産性向上拡張機能など) により攻撃しやすくなっているためであり、また、そのような拡張機能に付与されているアクセス許可がハッカーの目的であるためでもあります。エクスプロイト (ネットワークへのアクセスや、VPN 拡張機能に与えられたデータの閲覧など)。このため、拡張機能を分類することは、ブラウザ拡張機能のセキュリティ体制を評価する上で有益です。
- 拡張機能の権限を列挙する:理解しながら どれの 拡張機能が企業環境にインストールされることはコインの片面であり、コインのもう一方の面は理解することです 何 これらの拡張機能でできること。これは、ユーザーの正確なアクセス許可を列挙し、ユーザーがアクセスできる可能性のあるすべての情報をリストすることによって行われます。
- 拡張リスクを評価する: 企業のエンドポイントにどのような権限がインストールされているか、およびこれらの拡張機能が (権限を介して) アクセスできる情報を理解したら、組織は個々の拡張機能によってもたらされるリスクを評価する必要があります。総合的なリスク評価には、拡張機能の許可範囲 (つまり、拡張機能で何ができるか) と、評判、人気、発行者、インストール方法などの外部パラメータ (つまり、拡張機能をどの程度信頼しているか) の両方が含まれる必要があります。 。これらのパラメータを組み合わせて、拡張機能ごとに統合されたリスク スコアを作成する必要があります。
- 適応的でリスクベースの強制を適用する: 最後に、組織は、手元にあるすべての情報を考慮して、用途、ニーズ、リスク プロファイルに合わせた適応的なリスクベースの施行ポリシーを適用する必要があります。特定の権限を持つ拡張機能 (Cookie へのアクセスなど) をブロックするポリシーを定義したり、特定のユースケースに合わせたより複雑なルールを定義したりできます (リスク スコアが「高」の AI および VPN 拡張機能をブロックするなど)。
ブラウザ拡張機能は多くの生産性上のメリットをもたらしますが、同時に組織の脅威の対象領域と露出のリスクも拡大します。悪意のあるコードを含むブラウザ拡張機能をターゲットにした最近の攻撃キャンペーンは、悪意のあるブラウザ拡張機能や侵害されたブラウザ拡張機能から保護するためのアプローチを定義するよう組織に警鐘を鳴らすものとなるはずです。
ここをクリック 悪意のあるブラウザ拡張機能からの保護に関する包括的なガイドをダウンロードして、組織が脅威、既存のソリューションが十分な対応を提供しない理由、および組織自身を保護する方法を完全に理解するのに役立ちます。
