
慢雾:Chrome悪意ある拡張機能による100万ドル相当の盗難についての解説
TechFlow厳選深潮セレクト

慢雾:Chrome悪意ある拡張機能による100万ドル相当の盗難についての解説
プラットフォームはユーザー体験を考慮する一方で、ユーザーアカウントと資産のセキュリティ保護にも注意を払う必要があります。
執筆:23pds@SlowMistセキュリティチーム
背景
2024年6月3日、Twitterユーザー@CryptoNakamao氏が、悪意あるChrome拡張機能「Aggr」をダウンロードしたことで100万ドルを盗まれた経緯を投稿し、暗号資産コミュニティ全体に拡張機能のリスクと自身の資産安全に対する懸念が広がりました。5月31日、SlowMistセキュリティチームは「羊の皮を被った狼|偽のChrome拡張による盗難分析」と題する記事を発表し、悪意あるAggr拡張の攻撃手法について詳細な分析を公開しました。多くのユーザーがブラウザ拡張に関する基礎知識を持っていないことから、SlowMist最高情報セキュリティ責任者(CISO)の23pdsが本稿で「六問六答」の形式を通じて、拡張機能の基礎知識や潜在的リスク、対策について解説します。個人ユーザーおよび取引所がアカウントと資産の安全性を高める一助となれば幸いです。
https://x.com/im23pds/status/1797528115897626708
Q&A
1. Chrome拡張機能とは何ですか?
Chrome拡張機能(Chrome Extension)とは、Google Chromeブラウザ用に設計されたプラグインであり、ブラウザの機能や動作を拡張できます。ユーザーの閲覧体験をカスタマイズしたり、新しい機能やコンテンツを追加したり、ウェブサイトと連携したりすることが可能です。Chrome拡張機能は通常、HTML、CSS、JavaScriptなどのWeb技術で構築されています。
Chrome拡張の構造には主に以下の要素があります:
-
manifest.json:拡張の設定ファイル。名称、バージョン、権限などを定義します。
-
バックグラウンドスクリプト(Background Scripts):ブラウザのバックエンドで実行され、イベント処理や長期タスクを担当します。
-
コンテンツスクリプト(Content Scripts):ページのコンテキスト内で実行され、直接ウェブページと相互作用できます。
-
ユーザーインターフェース(UI):ブラウザツールバーのボタン、ポップアップウィンドウ、オプションページなど。
2. Chrome拡張機能にはどのような用途がありますか?
-
広告ブロック:拡張機能はウェブページ上の広告をブロックでき、ページ読み込み速度やユーザーエクスペリエンスを向上させます。例:AdBlock、uBlock Origin。
-
プライバシー・セキュリティ強化:トラッキング防止、通信の暗号化、パスワード管理などにより、ユーザーのプライバシーとセキュリティを強化します。例:Privacy Badger、LastPass。
-
生産性向上ツール:タスク管理、メモ、時間記録などにより、作業効率を高めます。例:Todoist、Evernote Web Clipper。
-
開発者ツール:ウェブ開発者がデバッグや開発を行うためのツールを提供。ページ構造の確認、コードのデバッグ、ネットワークリクエストの分析などが可能。例:React Developer Tools、Postman。
-
SNS・コミュニケーション統合:SNSやメッセージングツールを統合し、閲覧中に通知やメッセージを簡単に処理できます。例:Grammarly、Facebook Messenger。
-
ページカスタマイズ:テーマ変更、ページ要素の再配置、機能追加などにより、ページの外観や挙動をカスタマイズできます。例:Stylish、Tampermonkey。
-
自動化:フォームの自動入力、ファイルの一括ダウンロードなど、繰り返し作業を自動化します。例:iMacros、DownThemAll。
-
言語翻訳:ウェブページの内容をリアルタイムで翻訳し、異なる言語のページを理解するのを助けます。例:Google翻訳。
-
暗号資産支援:MetaMaskなどのように、暗号資産取引をより便利にします。
Chrome拡張の柔軟性と多様性により、ほぼすべての閲覧シーンに対応でき、ユーザーがさまざまなタスクをより効率的に遂行できるようになります。
3. Chrome拡張をインストールすると、どのような権限が与えられるのですか?
Chrome拡張は、特定の機能を実行するために一連の権限を要求することがあります。これらの権限は拡張の manifest.json ファイルに宣言され、インストール時にユーザーに確認されます。主な権限は以下の通りです:
-
<all_urls>:すべてのウェブサイトのコンテンツにアクセス可能。この広範な権限により、拡張はすべてのサイトのデータを読み取り・変更できます。
-
tabs:ブラウザのタブ情報を取得可能。現在開いているタブの取得、新規作成、閉じるなどができます。
-
activeTab:現在アクティブなタブに一時的にアクセス可能。通常、ユーザーが拡張のボタンをクリックした際に特定の操作を実行するために使われます。
-
storage:ChromeのストレージAPIを使用してデータを保存・取得可能。拡張の設定やユーザーのデータ保存に利用されます。
-
cookies:ブラウザ内のCookieを読み取り・変更可能。
-
webRequest および webRequestBlocking:ネットワークリクエストを傍受・変更可能。広告ブロッカーやプライバシー保護ツールによく使われます。
-
bookmarks:ブラウザのブックマークにアクセス・変更可能。
-
history:ブラウザの履歴にアクセス・変更可能。
-
notifications:デスクトップ通知を表示可能。
-
contextMenus:ブラウザの右クリックメニューにカスタム項目を追加可能。
-
geolocation:ユーザーの位置情報を取得可能。
-
clipboardRead および clipboardWrite:クリップボードの読み取り・書き込みが可能。
-
downloads:ダウンロードを管理可能(開始、一時停止、キャンセルなど)。
-
management:他の拡張機能やアプリケーションを管理可能。
-
background:バックグラウンドで長時間タスクを実行可能。
-
notifications:システム通知を表示可能。(※重複項目)
-
webNavigation:ブラウザのナビゲーション挙動を監視・変更可能。
これらの権限により、Chrome拡張は強力で多様な機能を実現できますが、同時にユーザーのCookieや認証情報といった機密データにもアクセス可能な可能性があることに注意が必要です。
4. 悪意あるChrome拡張はなぜユーザーの権限を盗むことができるのですか?
悪意あるChrome拡張は、要求された権限を利用してユーザーの権限や認証情報を盗み出せます。これは、これらの拡張がユーザーのブラウザ環境やデータに直接アクセス・操作できるためです。具体的な理由と方法は以下の通りです:
-
広範な権限の取得:悪意ある拡張は、<all_urls>(すべてのサイトへのアクセス)、tabs(タブ操作)、storage(ストレージアクセス)など、多数の権限を要求します。これにより、ユーザーの閲覧活動やデータに広範にアクセスできます。
-
ネットワークリクエストの操作:webRequest や webRequestBlocking 権限を使って、リクエストを傍受・改ざんし、ログイン時のフォームデータ(ユーザー名・パスワードなど)を盗むことができます。
-
ページ内容の読み取り・書き換え:コンテンツスクリプトにより、ページにコードを注入して内容を読み取り・変更できます。つまり、ユーザーが入力するフォームデータや検索キーワードなどを盗むことが可能です。
-
ブラウザストレージへのアクセス:storage 権限を使って、LocalStorage や IndexedDB などに保存された機密情報を含むローカルデータにアクセスできます。
-
クリップボード操作:clipboardRead / clipboardWrite 権限により、コピー・ペーストされた情報を盗み見たり、改ざんしたりできます。
-
正規サイトのなりすまし:ブラウザの表示内容を改ざんしたり、ユーザーを偽のページにリダイレクトさせたりして、ユーザーに機密情報を入力させる手口です。
-
バックグラウンドでの持続的な実行:background 権限を持つ悪意ある拡張は、ユーザーが使用していない間も常駐し、長期間にわたりユーザー活動を監視・データ収集できます。
-
ダウンロード操作:downloads 権限を使って、悪意あるファイルをダウンロード・実行し、端末のセキュリティをさらに脅かします。
5. なぜ今回の悪意ある拡張の被害者は権限を盗まれ、資金被害を受けたのですか?
今回、悪意あるAggr拡張は前述の権限をすべて取得しており、その manifest.json の permissions には以下が含まれています:
-
cookies
-
tabs
-
<all_urls>
-
storage

6. 悪意あるChrome拡張がユーザーのCookieを盗んだ後、どのような操作が可能ですか?
-
アカウントへの不正アクセス:盗まれたCookieを使って、ユーザーのログイン状態を模倣し、取引所アカウントにアクセス。残高や取引履歴などを閲覧できます。
-
不正取引の実行:Cookieに取引許可が含まれていれば、ユーザーの同意なしに仮想通貨の売買や他アカウントへの送金が可能です。
-
資金の引き出し:Cookieにセッション情報や認証トークンが含まれていれば、二段階認証(2FA)を回避して直接引き出しが可能となり、攻撃者のウォレットに資産を送金できます。
-
機密情報の収集:本人確認書類や住所など、取引所アカウント内の機密情報を盗み、さらなるなりすましや詐欺に利用される恐れがあります。
-
アカウント設定の変更:登録メールアドレスや電話番号を変更することで、アカウントの完全な支配を図り、さらなる情報窃取を可能にします。
-
ソーシャルエンジニアリング攻撃:ユーザーのアカウントを使って、知人へ詐欺メッセージを送信し、さらなる被害を拡大する手口です。
対策
ここまで読んで、「どうすればいいのか?ネットを断つしかないのか?専用PCを使う?ウェブ取引はやめる?」と考える方もいるでしょう。ネット上では「全部危ない」と極端な意見もありますが、適切なリスク対策を学ぶことで、バランスの取れた利用が可能です。
個人ユーザー向け対策:
-
セキュリティ意識の強化:まず第一に、常に疑う姿勢を持ち、セキュリティ意識を高めてください。
-
信頼できる拡張のみをインストール:Chromeウェブストアなどの公式ソースからのみ拡張をインストール。評価や要求される権限をよく確認し、不要な権限は付与しないようにしてください。
-
安全なブラウザ環境の使用:出所不明の拡張は避け、不要な拡張は定期的に削除。別のブラウザを使い分け、拡張用ブラウザと資産取引用ブラウザを分離しましょう。
-
アカウント活動の定期確認:ログイン履歴や取引記録を定期的にチェックし、不審な動きがあれば即座に対処。
-
ログアウトの習慣:操作終了後は必ずログアウト。便利だからとログイン状態を維持するのは大きなリスクです。
-
ハードウェアウォレットの利用:高額な資産はハードウェアウォレットで保管し、セキュリティを強化。
-
ブラウザ設定とセキュリティツールの活用:広告ブロッカーやプライバシー保護ツールなど、安全な拡張を利用し、リスクを低減。
-
セキュリティソフトの導入:マルウェアや悪意ある拡張を検出・阻止するセキュリティソフトを活用。
最後に、取引所向けのリスク管理アドバイスです。これらの対策により、ユーザーに対する悪意ある拡張のリスクを軽減できます:
二段階認証(2FA)の強制導入:
-
全ユーザーへの2FA義務化:ログインや重要な操作(取引、出金など)時に2FAを必須とし、Cookieが盗まれてもアカウントに簡単にアクセスできないようにする。
-
複数の認証方式のサポート:SMS、メール、Google Authenticator、ハードウェアトークンなどを選択可能にする。
セッション管理とセキュリティ:
-
デバイス管理機能:ユーザーがログイン中のデバイスを確認・管理でき、不審なセッションを即座に終了可能。
-
セッションタイムアウト:一定時間操作がない場合、自動的にログアウト。セッションの不正利用を防ぐ。
-
IPアドレス・地理位置の監視:異常な場所からのログインを検出し、警告またはブロック。
アカウントセキュリティの強化:
-
セキュリティ通知:ログイン、パスワード変更、出金などの重要操作を即時にメールやSMSで通知し、異常を早期発見。
-
アカウント凍結機能:緊急時にユーザー自身がアカウントを即時凍結でき、被害拡大を防止。
監視・リスク管理システムの強化:
-
異常行動検出:機械学習やビッグデータ分析でユーザー行動を監視し、異常な取引や活動を検出して迅速に介入。
-
リスク警告:頻繁な設定変更、ログイン失敗などが続く場合に警告・制限をかける。
ユーザー教育とセキュリティツールの提供:
-
セキュリティ教育:公式SNS、メール、プラットフォーム内通知などで、拡張機能のリスクやアカウント保護方法を周知。
-
公式セキュリティツール:公式のブラウザ拡張を提供し、ユーザーが不審な拡張や脅威を検出できるように支援。
おわりに
正直に言えば、技術的には上記のリスク管理措置をすべて実施しても、最善の方法とは限りません。セキュリティと業務のバランスが必要です。セキュリティを強化しすぎるとユーザーエクスペリエンスが損なわれます。例えば、注文時に毎回2FAを求めると、多くのユーザーは面倒になり無効にしてしまいます。結果として、自分だけでなくハッカーも楽になる——Cookieが盗まれても出金はできないものの、不正なトレード(対敲)が行われ、資産に損害が出る可能性があります。そのため、プラットフォームやユーザーごとにリスク管理のアプローチは異なります。セキュリティと利便性のバランス点は各プラットフォームが判断すべきですが、ユーザー体験を重視するあまり、アカウントと資産の保護をおろそかにしないようお願いします。
道は千本、安全が第一。SlowMistセキュリティチームは、ユーザーの皆様にソフトウェアのインストール、新規プロジェクトへの参加(土狗)、拡張機能の導入の前に、3秒立ち止まり、「これで本当に大丈夫か?安全なのか?」と自問してから行動することをおすすめします。事故にならないよう、賢く行動しましょう。より詳しいセキュリティ知識は、SlowMist発行の『ブロックチェーン黑暗森林自救マニュアル』をご参照ください。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










