Google Chrome 2FA バイパス攻撃を確認—数百万人のユーザーが危険にさらされる

この Google Chrome ブラウザ拡張機能攻撃は、認証 Cookie を侵害しました。

Photothek（ゲッティイメージズ経由）

2024 年 12 月 31 日更新: 12 月 29 日に最初に公開されたこのストーリーには、2FA バイパスセッション Cookie 侵害がどのように機能するかについての説明、この攻撃の軽減に関するセキュリティ専門家からのアドバイス、および Chrome ブラウザ拡張機能のセキュリティ問題に関する Google のサポートが含まれています。

ハッカーは休暇をとりません。これは、12 月中旬に遡り、季節休暇中も続く Google Chrome ブラウザ拡張機能の一連の侵害によって証明されています。現在進行中の Google Chrome について知っておくべきことはすべてここにあります二要素認証バイパス攻撃。

フォーブスGmail の重要な警告 – これらの Google セキュリティ警告に対して[はい]をクリックしないでくださいによるデイビー・ワインダー

Cyberhaven Chrome 拡張機能攻撃

Cyberhaven の顧客に対する攻撃は 12 月 24 日に始まり、フィッシングの脅威により従業員が侵害されることに成功しました。重要なのは、これには、攻撃者が Google Chrome Web ストアにアクセスできるようにする認証情報の侵害が含まれていることです。「攻撃者はこれらの認証情報を使用して、当社の Chrome 拡張機能の悪意のあるバージョンを公開しました」と Ting 氏は認めました。この悪意のある拡張機能は 12 月 25 日遅くまで発見されず、その後 60 分以内に削除されました。

あ事前調査この攻撃の結果、最初のアクセス経路は、Cyberhaven の Chrome 拡張機能の登録済みサポートメールに送信された、開発者をターゲットとしたフィッシングメールによるものであることが明らかになりました。 Cyberhaven は、このような初期攻撃がどのようなものであるかを他の人に警告するために、この電子メールを公開しました。

Cyberg=haven 拡張機能攻撃を開始したフィッシングメール

サイバーヘブン

被害者がリンクをクリックすると、「プライバシーポリシー拡張機能と呼ばれる悪意のある OAUTH Google アプリケーションを追加する」ための Google 認証フロー内にいることになったとサイバーヘブンは述べています。これは Google.com でホストされており、サードパーティの Google アプリケーションへのアクセスを許可するための標準プロセスの一部であり、この場合、悪意のあるアプリケーションを誤って承認してしまいました。「この従業員はGoogle Advanced Protectionを有効にしており、自分のアカウントをカバーするMFAを持っていた」とCyberhavenは述べた。多要素認証のプロンプトは受信されず、従業員の Google 認証情報は攻撃によって侵害されませんでした。その後、公式 Cyberhaven Chrome 拡張機能のクリーンな以前のバージョンに基づく悪意のある拡張機能 (24.10.4) が Chrome ストアにアップロードされました。

フォーブスイーロン・マスクの Xmail ティーザーが数十億の Gmail ユーザーに新たな脅威をもたらすによるデイビー・ワインダー

Chrome 拡張機能攻撃 – 2FA バイパスの説明

2 要素認証は依然として資格情報検証のセキュリティ保護において重要な層ですが、それは攻撃に対して無敵であるという意味ではありません。人々は、SMS テキストメッセージによる 2FA のようなものだけが傍受される可能性があり、コードを生成する認証アプリの使用が特効薬であると誤って考えていることがよくあります。ほとんどの人にとってアプリは 2FA を使用するより強力な方法であり、SMS コードは 2FA 保護がないよりはまだ優れていますが、攻撃者は依然としてこの認証層をバイパスする可能性があります。実際には、正確にはバイパスするのではなく、クローンを作成します。攻撃者は、どのような方法であっても、認証情報が入力される本物のように見えるログインページに被害者をリダイレクトします。 2FA コード入力部分に関しては、中間者攻撃手法を使用して、正しいコードが入力されたときに作成されるセッション Cookie がキャプチャされ、後で使用できるように保存されます。この Cookie は、そのユーザーセッションに適切に承認されたものとしてフラグを立てるという、文字通りの動作を行います。もちろん、攻撃者がその Cookie のコピーを持っている場合は、好きなときにそのセッションを再実行でき、引き続き認証されたユーザーとして認識される可能性があります。

Chrome 拡張機能 2FA バイパス攻撃 – 影響と範囲

Ting 氏によると、Cyberhaven Chrome 拡張機能攻撃の影響と範囲は次のとおりです。

影響を受けた Chrome 拡張機能の唯一のバージョンは 24.10.4 で、悪意のあるコードはクリスマスの日からボクシングデーまでの間のみ活動していました。攻撃期間中に自動更新された Chrome ベースのブラウザを使用している顧客のみが影響を受けると考えられます。

ただし、侵害された拡張機能を実行していたブラウザについては、「Cookie が流出し、特定の標的となった Web サイトのセッションを認証できた可能性がある」ことを Cyberhaven は確認しました。初期調査では、標的となったログインはソーシャルメディア広告とAIプラットフォームであったことが示唆されている。

「私たちの調査により、CI/CD プロセスやコード署名キーを含む他の Cyberhaven システムが侵害されていないことが確認されました」と Ting 氏は述べています。

フォーブス2025 年 2 月 3 日、悪魔的なランサムウェア集団が新たな攻撃警告を発行によるデイビー・ワインダー

2FA バイパス攻撃を軽減する方法 — そして Cyberhaven Chrome 拡張機能インシデントに対応する方法

と連邦捜査局 10 月 30 日には、サイバー犯罪者による 2FA アカウント保護を回避するためのセッション Cookie の盗難について人々に警告しましたが、これらの攻撃のリスクを認識して軽減する時期は過ぎています。 Googleの広報担当者は、「このような攻撃に対抗するための保護手段は数多くあり、その中にはフィッシングやその他のソーシャルエンジニアリング攻撃の影響を大幅に軽減するパスキーも含まれる」と述べ、「Googleの調査によると、セキュリティキーは自動化されたボットや大量のフィッシングに対してより強力な保護を提供することが示されている」と述べた。 SMS、アプリベースのワンタイムパスワード、その他の従来の 2 要素認証形式よりも攻撃、および標的型攻撃を軽減します。」

問題の 1 つは、従業員がシングルサインオンや認証画面をクリックしてスルーすることが多く、未知のサードパーティアプリに権限を付与してしまう可能性があることです。 SquareX創設者のヴィヴェク・ラマチャンドラン氏はこう語った。。「サーバー側では、承認されていない限り、危険な OAuth スコープを要求するアプリを禁止することで、これを防ぐことができます。ホワイトリストの作成は必ずしも現実的であるとは限らず、生産性が低下する可能性がありますが、クライアント側のブラウザ検出/応答ツールが介入する可能性があります。」

この特定の攻撃に関しては、完全な透明性を理由に、影響を受けることがわかっていない顧客とともに、影響を受けた顧客にもサイバーヘイブンから通知を受けました。悪意のある Chrome 拡張機能は Chrome ウェブストアから削除され、安全なバージョン 24.10.5 が自動的に展開されました。「影響を受ける期間中に Chrome 拡張機能のバージョン 24.10.4 を実行しているお客様には、拡張機能がバージョン 24.10.5 以降に更新されていることを確認することを強くお勧めします。」と Ting 氏は述べています。私は Google に声明を求めました。

フォーブスFBI がブルートフォースパスワードスパイ攻撃を警告—知っておくべきことによるデイビー・ワインダー

Chrome Web ブラウザ拡張機能を使用する際の安全性の確保について Google が述べたこと

ベンジャミン・アッカーマン、アノイ・ゴーシュ、デヴィッド・ウォーレン、 Chrome セキュリティチームは、Chrome 拡張機能に関する限り、安全を確保するために次のアドバイスを提供しています。

他のソフトウェアと同様に、Chrome 拡張機能は利点だけでなくリスクももたらす可能性があることを当然のことながら認識しており、Google Chrome セキュリティチームの投稿では、Chrome 拡張機能をインストールして利用する際の安全を確保するという 1 つの焦点に Chrome 拡張機能がどのように存在するかを説明しています。

チームはこれを次のように実行します。

ユーザーがインストールしたすべての Chrome ブラウザ拡張機能のパーソナライズされた概要をユーザーに提供します。
Chrome ウェブストアに公開する前に、すべての拡張機能をレビューします。
これらの拡張機能は、公開後に継続的に監視されます。

ブラウザのアドレスバーに「chrome://extensions」と入力すると、インストールされている、セキュリティリスクを引き起こす可能性がある拡張機能のリストが表示されます。 Chrome セキュリティチームによると、この警告パネルが表示されない場合は、100% の保証はないものの、危険な拡張機能がインストールされていない可能性が高いとのことです。警告パネルが表示される場合、その内容には次の詳細が含まれます。

マルウェアが含まれている疑いのある拡張機能。
Chrome ウェブストアのポリシーに違反する拡張機能。
開発者によって公開されていない拡張機能。これは、拡張機能がサポートされなくなったことを示している可能性があります。
Chrome ウェブストアから提供されていない拡張機能。
拡張機能は、収集したデータの処理やその他のプライバシー慣行を公開していません。

フォーブスロシアのサイバー攻撃が確認されたため、新たな Windows セキュリティ警告によるデイビー・ワインダー

Chrome セキュリティチームは、Chrome のアドレスバーに「安全チェックを実行」と入力し、[Chrome 安全チェックに移動]を選択して Chrome 安全チェックを実行することも推奨しています。そうは言っても、安全性チェックでは、安全性に関する推奨事項がある場合は自動的に通知されますが、私に尋ねられたら、積極的に行動することに決して害はありません。

Google セキュリティチームが Chrome ウェブストアに公開する前に拡張機能をチェックする方法

アッカーマン氏、ゴーシュ氏、ウォーレン氏は、「Chrome ウェブストアから拡張機能にアクセスしてインストールできるようになる前に、拡張機能が安全であることを確認するために 2 つのレベルの検証を行っています」と述べた。 1 つ目は自動レビューで、すべての Chrome ブラウザ拡張機能が Google の AI を活用した機械学習システムによって分析され、潜在的な違反や疑わしい動作が特定されます。次に人間によるレビューが行われ、Chrome セキュリティチームのメンバーがすべての拡張機能に添付されている画像、説明、パブリックポリシーを検査します。 Chrome セキュリティチームは、「自動レビューと手動レビューの両方の結果によっては、コードのさらに深く徹底したレビューを行う可能性があります」と述べています。 Googleは、2024年にChromeウェブストアからの全インストールのうちマルウェアが含まれていることが判明したのは1％未満だったと発表した。「私たちはこの記録を誇りに思っていますが、それでも一部の悪質な拡張機能は依然として通過しています。そのため、公開された拡張機能も監視しています。」とセキュリティチームは述べています。

Chrome セキュリティチームは、Chrome ウェブストアにすでにある拡張機能をレビューします。セキュリティ事前チェックと同様、これには人間と機械の両方のプロセスが関係します。 Googleは、外部のセキュリティ研究者と協力しており、その中にはバグ報奨金を受け取っている人もおり、開発者データ保護報酬プログラムを通じて潜在的なChromeの脅威を発見して報告していると述べた。

フォーブスGoogle ユーザーデータの消去が進行中—知っておくべきことによるデイビー・ワインダー

時間の経過とともに更新され、後日悪意のあるコードを実行するようにプログラムされた拡張機能に関しては、Google の Chrome セキュリティチームも同様に検出するために最善を尽くしています。しかし、この事件で見てきたように、それは私たちが望んでいるほど、あるいは正直に言うと期待しているほど効率的に機能するとは限りません。このプロセスには、拡張機能の動作を定期的に確認し、そのアクティビティを Chrome ウェブストアの各拡張機能によって定義された目標と比較することが含まれます。セキュリティチームは「拡張機能がChromeユーザーに重大なリスクをもたらすとチームが判断した場合、その拡張機能はChromeウェブストアから直ちに削除され、拡張機能がインストールされているすべてのブラウザで無効になる」と述べた。上記のすべてにもかかわらず、Google は、Chrome ユーザーに対し、Chrome の最高レベルの保護を提供するセーフブラウジングの強化された保護モードを有効にするだけでなく、拡張機能を時々確認することを依然として推奨していると述べました。

Source link

Share this content: