ReadWrite
paint-brush
SquareX、数百万人を危険にさらす新たな攻撃手法「ブラウザシンクジャッキング」を公開@cybernewswire
新しい歴史

SquareX、数百万人を危険にさらす新たな攻撃手法「ブラウザシンクジャッキング」を公開

CyberNewswire6m2025/01/30
Read on Terminal Reader
tldt arrow
en-flagENtr-flagTRes-flagESfr-flagFRja-flagJAkm-flagKMbe-flagBEkk-flagKKaf-flagAFsk-flagSKhe-flagHEnl-flagNLzu-flagZU
JA

長すぎる; 読むには

SquareX は、悪意のある拡張機能を使用してブラウザを完全に乗っ取り、最終的にはデバイス全体を乗っ取る新しい攻撃手法を公開しました。攻撃は、従業員がブラウザ拡張機能をインストールすることから始まります。その後、拡張機能は、攻撃者の Google Workspace によって管理されている Chrome プロファイルに被害者を「静かに」認証します。
featured image - SquareX、数百万人を危険にさらす新たな攻撃手法「ブラウザシンクジャッキング」を公開
CyberNewswire HackerNoon profile picture
0-item

米国パロアルト、2025年1月30日/CyberNewsWire/-- SquareXは、悪意のある拡張機能を使用してブラウザ、そして最終的にはデバイス全体を完全に乗っ取る方法を示す新しい攻撃手法を公開しました。


Chrome 拡張機能開発者に対する OAuth 攻撃やデータ流出攻撃の波により、ブラウザ拡張機能は最近、エンタープライズ セキュリティ ニュースで注目を集めています。


しかし、これまでは、ブラウザベンダーが拡張機能サブシステムと拡張機能に課している制限により、拡張機能がブラウザを完全に制御することは不可能であり、ましてやデバイスを制御することは不可能であると考えられていました。


スクエアエックス研究者の Dakshitaa Babu、Arpit Gupta、Sunkugari Tejeswara Reddy、Pankaj Sharma は、攻撃者が悪意のある拡張機能を使用して権限を昇格し、ユーザーの操作を最小限に抑えてブラウザとデバイスを完全に乗っ取る方法を実証し、この考えを覆しました。


重要なのは、悪意のある拡張機能は、Grammarly、Calendly、Loom などの一般的な生産性向上ツールを含む、Chrome ストアのブラウザ拡張機能の大部分に存在する読み取り/書き込み機能のみを必要とするため、ユーザーがこれらの権限を付与することに鈍感になっていることです。


この発見は、事実上あらゆるブラウザ拡張機能が、攻撃者によって作成または乗っ取られた場合、潜在的に攻撃ベクトルとして機能する可能性があることを示唆しています。私たちの理解する限りでは、これらの機能を要求する Chrome ストアに提出された拡張機能は、この記事の執筆時点では追加のセキュリティ調査を受けていません。


ブラウザのシンクジャッキング攻撃は、拡張機能が攻撃者が管理するプロファイルを密かに追加し、ブラウザを乗っ取り、最終的にデバイスを完全に制御するという 3 つの部分に分けられます。

プロフィールの乗っ取り

攻撃は、従業員がブラウザ拡張機能をインストールすることから始まります。これには、AI ツールを装った拡張機能を公開したり、合計で数百万に上る既存の人気拡張機能を乗っ取ったりすることが含まれる可能性があります。


その後、拡張機能は、攻撃者の Google Workspace によって管理されている Chrome プロファイルに被害者を「サイレントに」認証します。これはすべてバックグラウンド ウィンドウで自動的に行われるため、被害者はプロセス全体をほとんど認識できません。


この認証が行われると、攻撃者は被害者のブラウザで新たに管理されるプロファイルを完全に制御できるようになり、安全なブラウジングやその他のセキュリティ機能を無効にするなどの自動化されたポリシーをプッシュできるようになります。


信頼されたドメインを悪用する非常に巧妙なソーシャル エンジニアリング攻撃を使用して、攻撃者はプロファイル ハイジャック攻撃をさらにエスカレートし、被害者のブラウザーからパスワードを盗むことができます。たとえば、悪意のある拡張機能は、ユーザー アカウントの同期方法に関する Google の公式サポート ページを開いて変更し、被害者が数回クリックするだけで同期を実行するように促すことができます。


プロファイルが同期されると、攻撃者はローカルに保存されているすべての認証情報と閲覧履歴に完全にアクセスできるようになります。この攻撃は正当なサイトのみを利用し、拡張機能によって変更されたという目に見える兆候がないため、ネットワーク トラフィックを監視するセキュリティ ソリューションで警告が鳴ることはありません。

ブラウザの乗っ取り

ブラウザを完全に乗っ取るには、攻撃者は基本的に被害者の Chrome ブラウザを管理対象ブラウザに変換する必要があります。


同じ拡張機能は、Zoom アップデートなどの正当なダウンロードを監視および傍受し、被害者の Chrome ブラウザを管理対象ブラウザに変えるための登録トークンとレジストリ エントリを含む攻撃者の実行可能ファイルに置き換えます。


被害者は Zoom アップデータをダウンロードしたと思い、ファイルを実行します。その結果、ブラウザが攻撃者の Google Workspace によって管理されるように指示するレジストリ エントリがインストールされます。


これにより、攻撃者は被害者のブラウザを完全に制御して、セキュリティ機能を無効にしたり、悪意のある拡張機能を追加でインストールしたり、データを盗み出したり、さらにはユーザーをフィッシング サイトに密かにリダイレクトしたりすることができます。管理対象ブラウザと管理対象外ブラウザの間には見た目の違いがないため、この攻撃は非常に強力です。


一般ユーザーの場合、被害者がセキュリティ意識が高く、ブラウザの設定を定期的に検査して見慣れない Google Workspace アカウントとの関連を探すような手間をかけない限り、権限昇格が発生したことを示す明らかな兆候はありません。

デバイスのハイジャック

攻撃者は、上記と同じダウンロード ファイルを使用して、悪意のある拡張機能がネイティブ アプリにメッセージを送信するために必要なレジストリ エントリをさらに挿入できます。これにより、拡張機能は追加の認証なしでローカル アプリと直接対話できるようになります。


接続が確立されると、攻撃者は拡張機能をローカル シェルやその他の利用可能なネイティブ アプリケーションと組み合わせて使用し、デバイスのカメラを密かにオンにしたり、音声をキャプチャしたり、画面を記録したり、悪意のあるソフトウェアをインストールしたりすることができます。つまり、デバイス上のすべてのアプリケーションと機密データへの完全なアクセスが可能になります。


ブラウザ シンクジャッキング攻撃は、リモート管理プロファイルとブラウザの管理方法に根本的な欠陥があることを露呈します。現在、誰でも、何らかの身元確認なしに、新しいドメインとブラウザ拡張機能に関連付けられた管理ワークスペース アカウントを作成できるため、これらの攻撃の原因を特定することは不可能です。


残念ながら、ほとんどの企業は現在、ブラウザに対する可視性がまったくありません。ほとんどの企業は管理されたブラウザやプロファイルを持っておらず、トレンドのツールやソーシャル メディアの推奨に基づいて従業員が頻繁にインストールする拡張機能に対する可視性もありません。


この攻撃が特に危険なのは、最小限の権限で実行され、ユーザーの介入がほとんど必要なく、信頼できる Web サイトを使用した微妙なソーシャル エンジニアリングの手順のみを必要とするため、従業員が検出することがほぼ不可能である点です。


サイバーヘイブン侵害のような最近の事件は、すでに数百、いや数千の組織を侵害していますが、これらの攻撃を実行するには比較的複雑なソーシャル エンジニアリングが必要でした。この攻撃は、ユーザー インタラクションの敷居が極めて低く、その壊滅的な巧妙さにより、この攻撃が非常に強力になるだけでなく、敵対者がすでにこの手法を使用して今日企業を侵害しているという恐ろしい可能性も浮き彫りになっています。


組織が管理対象ブラウザを介してブラウザ拡張機能を完全にブロックすることを選択しない限り、ブラウザ シンクジャッキング攻撃は既存のブラックリストと権限ベースのポリシーを完全に回避します。


SquareXの創設者ヴィヴェック・ラマチャンドラン「この調査は、企業セキュリティの重大な盲点を明らかにしました。従来のセキュリティ ツールでは、これらの高度なブラウザベースの攻撃を検出したり阻止したりすることはできません。この発見が特に憂慮すべきなのは、一見無害なブラウザ拡張機能を、EDR や SASE/SSE セキュア Web ゲートウェイなどの従来のセキュリティ対策のレーダーをかいくぐりながら、完全なデバイス乗っ取りツールに変える方法です。ブラウザ検出/対応ソリューションは、もはや単なるオプションではなく、必須です。ブラウザ レベルでの可視性と制御がなければ、組織は基本的に攻撃者に対して正面玄関を無防備にしていることになります。この攻撃手法は、セキュリティを脅威が実際に発生している場所、つまりブラウザ自体に「シフトアップ」する必要がある理由を示しています。」


SquareXは、DEF CON 32の講演を含め、ブラウザ拡張機能に関する先駆的なセキュリティ研究を行ってきました。こっそりとした拡張機能: MV3 エスケープ アーティスト複数の MV3 準拠の悪意のある拡張機能が明らかになりました。


この研究チームはまた、 Chrome拡張機能開発者に対するOAuth攻撃1週間前サイバーヘイブン侵害SquareXは、ラストマイル再組み立て攻撃は、アーキテクチャ上の欠陥を悪用し、すべてのセキュア Web ゲートウェイ ソリューションを完全に回避する新しいクラスのクライアント側攻撃です。


この調査に基づき、SquareX の業界初のブラウザ検出および対応ソリューションは、実行時にすべてのブラウザ拡張機能アクティビティを動的に分析し、企業全体のアクティブな拡張機能すべてにリスク スコアを提供し、さらに脆弱性のある攻撃を特定することで、デバイス ハイジャックの試みを含む高度な拡張機能ベースの攻撃から企業を保護します。


ブラウザシンクジャッキング攻撃の詳細については、この研究の追加の調査結果をご覧ください。 sqrx.com/リサーチ

SquareXについて

スクエアエックス組織がユーザーに対して発生しているクライアント側の Web 攻撃をリアルタイムで検出、軽減、脅威追跡するのに役立ちます。


SquareX の業界初のブラウザ検出および対応 (BDR) ソリューションは、ブラウザ セキュリティに対して攻撃に重点を置いたアプローチを採用し、悪意のある QR コード、ブラウザ内フィッシング、マクロベースのマルウェア、悪意のあるファイル、Web サイト、スクリプト、侵害されたネットワークを含むその他の Web 攻撃などの高度な脅威から企業ユーザーを保護します。


さらに、SquareX を使用すると、企業は請負業者やリモート ワーカーに社内アプリケーションやエンタープライズ SaaS への安全なアクセスを提供し、BYOD / 管理されていないデバイス上のブラウザーを信頼できるブラウジング セッションに変換できます。

接触

広報部長

ジュニス・リュー

スクエアエックス

ジュニス@sqrx.com

このストーリーは、HackerNoonのビジネスブログプログラムを通じてCybernewswireからリリースとして配信されました。プログラムの詳細については、こちらをご覧ください。ここ


Notion
L O A D I N G
. . . comments & more!

About Author

CyberNewswire HackerNoon profile picture
CyberNewswire@cybernewswire
The world's leading cybersecurity press release distribution platform.
Read my stories

ラベル

purcat-imgcybersecurity #cybersecurity #squarex #cybernewswire #press-release #squarex-announcement #cyber-threats #cyber-security-awareness #good-company

この記事は...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

関連ストーリー

Article Thumbnail
フォーラムからフィードへ: ソーシャル メディア アルゴリズムがデジタル インタラクションを形作る仕組み
by minad21
Jan 01, 1970
#optout
Article Thumbnail
ユーザー中心の暗号通貨製品の作成: 顧客からのフィードバックの重要性
by kategrizik
Jan 01, 1970
#crypto-user-experience
Article Thumbnail
AI の力を解き放つ。最先端技術の体系的レビュー: 概要と序論
by decentralizeai
Jan 01, 1970
#ai
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas