SquareX、悪質な拡張機能がGoogleのMV3制限を回避する方法を紹介

**シンガポール、シンガポール、2024年10月3日/CyberNewsWire/--**DEF CON 32では、スクエアエックス研究チームは、「Sneaky Extensions: The MV3 Escape Artists」と題した衝撃的なプレゼンテーションを行い、悪質なブラウザ拡張機能がどのようにして Google の Chrome 拡張機能構築の最新標準である Manifest V3 (MV3) のセキュリティ機能を回避し、何百万ものユーザーと企業を危険にさらしているかについての調査結果を共有しました。

SquareX の研究チームは、MV3 上に構築された不正な拡張機能を公開しました。主な調査結果は次のとおりです。

• 拡張機能は、特別な権限を必要とせずに、Google Meet や Zoom Web などのライブ ビデオ ストリームを盗むことができます。
• 不正な拡張機能は、ユーザーに代わってプライベート GitHub リポジトリに共同作業者を追加する可能性があります。
• 拡張機能は、ログイン イベントにフックして、パスワード マネージャーのログインを装ったページにユーザーをリダイレクトすることができます。
• MV3 上に構築された拡張機能は、MV2 の拡張機能と同様に、サイトの Cookie、閲覧履歴、ブックマーク、ダウンロード履歴を簡単に盗むことができます。
• 不正な拡張機能は、偽のソフトウェア更新プロンプトなどのポップアップをアクティブな Web ページに追加し、ユーザーを騙してマルウェアをダウンロードさせる可能性があります。

ブラウザ拡張機能は長い間、悪意のある攻撃者の標的となってきた。スタンフォード大学の研究者が、 報告近年、悪意のある Chrome 拡張機能が 2 億 8,000 万個インストールされたと推定されています。Google はこの問題の解決に苦慮しており、悪意のある拡張機能の特定には独立した研究者に頼ることが多いです。

場合によっては、Googleが手動で削除しなければならなかった。 32 拡張機能昨年 6 月に削除されました。削除されるまでに、これらの拡張機能はすでに 7,500 万回インストールされていました。これらの問題のほとんどは、Chrome 拡張機能の標準であるマニフェスト バージョン 2 (MV2) に抜け穴が多数存在し、拡張機能に過剰な権限を付与し、多くの場合ユーザーの知らないうちにスクリプトをその場で挿入できることが原因で発生しました。

これにより、悪意のある攻撃者はこれらの脆弱性を簡単に悪用して、データを盗んだり、マルウェアを挿入したり、機密情報にアクセスしたりできるようになりました。MV3 は、セキュリティを強化し、権限を制限し、拡張機能に事前にスクリプトを宣言することを義務付けることで、これらの問題に対処するために導入されました。

しかし、SquareX の調査によると、MV3 は多くの重要な領域で不十分であり、攻撃者が依然として最小限の権限を悪用して悪意のある活動を実行できることが示されています。新しい MV3 フレームワークでも、個人ユーザーと企業の両方が危険にさらされています。

エンドポイント セキュリティ、SASE/SSE、セキュア Web ゲートウェイ (SWG) などの今日のセキュリティ ソリューションでは、インストールされたブラウザ拡張機能を可視化できません。現在、これらの拡張機能を動的に計測できる成熟したツールやプラットフォームは存在せず、企業は拡張機能が安全か悪意があるかを正確に評価することができません。

SquareX は、企業向けの最高レベルのサイバーセキュリティ保護に取り組んでおり、この問題を解決するための重要な革新的な機能を構築しました。これには以下が含まれます。

• どの拡張機能を許可/ブロックするかを決定するきめ細かいポリシーと、拡張機能の権限、作成日、最終更新日、レビュー、評価、ユーザー数、作成者属性などのパラメータが含まれます。
• SquareXは、ポリシー、ヒューリスティック、機械学習の洞察に基づいて、実行時に拡張機能によって送信されたネットワークリクエストをブロックします。
• SquareXは、クラウドサーバーで改良されたChromiumブラウザを使用してChrome拡張機能の動的分析も実験している。

これらはSquareXの一部ですブラウザの検出と応答中規模から大規模の企業に導入され、これらの攻撃を効果的にブロックしているソリューションです。

ヴィヴェック・ラマチャンドラン創設者兼CEOスクエアエックスは、増大するリスクについて次のように警告しています。「ブラウザ拡張機能は EDR/XDR の盲点であり、SWG にはその存在を推測する方法がありません。このため、ブラウザ拡張機能は、密かにインストールされて企業ユーザーを監視するための非常に効果的で強力な手法となっています。攻撃者は、ブラウザ拡張機能を利用して Web 通話での通信を監視したり、被害者に代わって外部の関係者に権限を与えたり、Cookie やその他のサイト データを盗んだりしています。」

「私たちの調査では、動的な分析と企業が厳格なポリシーを適用する能力がなければ、こうした攻撃を特定してブロックすることはできないことが証明されています。Google MV3 は意図は良いものの、設計段階と実装段階の両方でセキュリティを強化するにはまだまだ遠いです」と Vivek Ramachandran 氏は語りました。

SquareXについて

スクエアエックス組織がユーザーに対して発生しているクライアント側の Web 攻撃をリアルタイムで検出、軽減、脅威追跡するのに役立ちます。

SquareX の業界初のブラウザ検出および対応 (BDR) ソリューションは、ブラウザ セキュリティに対して攻撃に重点を置いたアプローチを採用し、悪意のある QR コード、ブラウザ内フィッシング、マクロベースのマルウェア、悪意のある拡張機能、悪意のあるファイル、Web サイト、スクリプト、侵害されたネットワークを含むその他の Web 攻撃などの高度な脅威から企業ユーザーを保護します。

SquareX を使用すると、企業は請負業者やリモート ワーカーに社内アプリケーションやエンタープライズ SaaS への安全なアクセスを提供し、BYOD / 管理されていないデバイス上のブラウザーを信頼できるブラウジング セッションに変換することもできます。

接触

広報部長

ジュニス・リュー

スクエアエックス

ジュニス@sqrx.com