Chromeの有名なプラグインSwitchyOmegaにセキュリティ上の脆弱性が存在します。プラグインの改ざんを防ぐにはどうすればよいですか？

最近、ユーザーからのフィードバックにより、Chromeの人気プロキシ切替プラグインSwitchyOmegaに秘密鍵を盗むセキュリティリスクがある可能性が指摘されました。調査の結果、この問題は昨年から発生していたことが判明しましたが、一部のユーザーは警告に気づかず、汚染されたバージョンのプラグインを使用し続け、秘密鍵の漏洩やアカウントのハイジャックなどの深刻な脅威に直面しています。本記事では、このプラグイン改ざん事件を分析し、同様のリスクを防ぐ方法や対処法について考察します。

イベントの振り返り

この事件は最初、攻撃の調査から始まりました。2024年12月24日、ある会社の従業員がフィッシングメールを受け取り、その結果、公開されたブラウザプラグインに悪意のあるコードが埋め込まれ、ユーザーのブラウザのCookieやパスワードを盗もうとしました。独立調査により、Googleのプラグインストアには、同様の攻撃を受けた30以上のプラグインが存在することが明らかになりました。その中にはProxy SwitchOmega (V3)も含まれています。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-4c9dff28f3c951e9858c8b7d6f7bd73b.webp)

フィッシングメールは、同社のブラウザ拡張がGoogleの関連規約に違反していると主張し、直ちに行動を取らなければプラグインが撤回されると脅迫しました。緊急感から、その従業員はメール内のフィッシングリンクをクリックし、「Privacy Policy Extension」という名前のOAuthアプリに権限を与えました。一度攻撃者がOAuthアプリへのアクセス権を取得すると、パスワードなしで被害者のアカウントを遠隔操作し、アプリデータを変更することができます。

攻撃者はChromeウェブストアのアカウントの制御権を取得した後、悪意のあるコードを含む新しいバージョンの拡張機能をアップロードし、Chromeの自動更新メカニズムを利用して、影響を受けたユーザーが知らないうちに悪意のあるバージョンに自動更新されるようにしました。

悪意のあるプラグインには2つのファイルが含まれており、その中のworker.jsファイルはコマンドとコントロールサーバーに接続し、設定をダウンロードしてChromeのローカルストレージに保存します。その後、content.jsからのイベントをリッスンするリスナーを登録します。悪意のあるバージョンは、公開から31時間以内に、この拡張機能を実行しているChromeブラウザが自動的に悪意のあるコードをダウンロードしてインストールします。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-4251b55bde2d20e012d55c2fe8b76306.webp)

調査報告によると、攻撃を受けたこれらのプラグインは、Googleストアでの累計ダウンロード数が50万回を超え、260万台以上のユーザーデバイスからの敏感なデータが盗まれ、ユーザーに対して大きなセキュリティリスクをもたらしています。これらの改ざんされた拡張機能は、アプリストアで最大18ヶ月間販売されており、被害を受けたユーザーは自分のデータが漏洩していることにほとんど気付いていません。

Chromeストアの更新ポリシーが進化し、V2バージョンの拡張機能がサポートされなくなったため、SwitchyOmegaの公式オリジナル拡張機能はV2バージョンであり、サポート外に含まれています。汚染された悪意のあるバージョンはV3バージョンであり、その開発者アカウントはオリジナルのV2バージョンのアカウントとは異なります。したがって、このバージョンが公式にリリースされたものかどうかを確認することはできず、また公式アカウントがハッカーによって攻撃されて悪意のあるバージョンがアップロードされたのか、V3バージョンの作者自体が悪意を持っているのかを判断することもできません。

セキュリティ専門家は、ユーザーにインストールされているプラグインのIDを確認して、公式バージョンであるかどうかを確認することを推奨しています。影響を受けたプラグインがインストールされていることが判明した場合は、最新の安全バージョンに更新するか、直接削除してセキュリティリスクを軽減する必要があります。

プラグインが改ざんされるのを防ぐには？

ブラウザ拡張機能は常にネットワークセキュリティの弱点でした。プラグインが改ざんされたり、悪意のあるプラグインをダウンロードされるのを避けるために、ユーザーはインストール、使用、管理の3つの側面から安全対策を講じる必要があります。

1. 公式なチャネルからのみプラグインをダウンロードしてください。

   • Chrome公式ストアを優先的に使用し、オンラインのサードパーティのダウンロードリンクを信頼しないでください。
   • 未検証の"クラック版"プラグインの使用を避けてください。多くの改造版プラグインにはバックドアが埋め込まれている可能性があります。

2. プラグインの権限要求に注意する

   • 権限を慎重に付与してください。一部のプラグインは、閲覧履歴やクリップボードなどの不要な権限を要求する可能性があります。
   • プラグインが機密情報の読み取りを要求する場合は、十分に警戒してください。

3. 定期的にインストールされているプラグインをチェックする

   • Chromeのアドレスバーにchrome://extensions/と入力して、インストールされているすべての拡張機能を表示します。
   • プラグインの最近の更新日時に注意してください。プラグインが長期間更新されていないのに突然新しいバージョンが公開された場合、改ざんされる可能性があるため警戒が必要です。
   • プラグインの開発者情報を定期的に確認し、プラグインの開発者が変更されたり権限が変わったりした場合は警戒を強める必要があります。

4. 専門的なツールを使用して資金の流れを監視し、資産の損失を防ぎます。

   • 秘密鍵が漏洩した疑いがある場合は、専門のツールを使用してオンチェーン取引を監視し、資金の流れを迅速に把握できます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-0d985041e03763c9f71cc47441f5bc40.webp)

プロジェクト側にとって、プラグインの開発者およびメンテナとして、悪意のある改ざん、サプライチェーン攻撃、OAuthの濫用などのリスクを防ぐために、より厳格なセキュリティ対策を講じるべきである。

1. OAuthアクセス制御

   • アクセス権の範囲を制限し、OAuthログを監視します。プラグインがOAuthを使用して認証する必要がある場合は、できるだけ短期トークンとリフレッシュトークンのメカニズムを使用し、高権限のトークンを長期間保存しないようにします。

2. Chromeウェブストアアカウントのセキュリティを強化する

   • Chromeウェブストアはプラグインの唯一の公式リリースチャネルであり、一度開発者アカウントが侵害されると、攻撃者はプラグインを改ざんし、すべてのユーザーのデバイスにプッシュすることができます。したがって、アカウントのセキュリティを強化する必要があります。たとえば、2FAを有効にし、最小権限管理を使用することが重要です。

3. 定期監査

   • プラグインコードの完全性は、プロジェクト側が改ざんを防ぐための核心であり、定期的なセキュリティ監査を行うことが推奨されます。

4. プラグイン監視

• プロジェクトチームは、新しいバージョンの安全性を確保するだけでなく、プラグインがハッキングされていないかをリアルタイムで監視する必要があります。問題が発見された場合は、直ちに悪意のあるバージョンを撤回し、安全に関する公告を発表し、ユーザーに感染したバージョンのアンインストールを通知する必要があります。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)

悪意のコードが埋め込まれたプラグインをどのように処理しますか？

プラグインが悪意のあるコードに感染していることが発見された場合、またはプラグインにリスクがあると疑われる場合、ユーザーに以下の対策を講じることをお勧めします:

1. プラグインを即座に削除

   • Chrome拡張機能管理ページ(chrome://extensions/)にアクセスし、影響を受けたプラグインを見つけて削除します。
   • プラグインデータを完全に削除し、残留する悪意のあるコードが実行され続けないようにします。

2. 漏洩する可能性のある機密情報を変更する

   • ブラウザに保存されているすべてのパスワードを変更すること、特に暗号通貨取引所や銀行口座に関連するパスワード。
   • 新しいウォレットを作成し、資産を安全に移動します（プラグインが暗号ウォレットにアクセスした場合）。
   • APIキーが漏洩していないか確認し、古いAPIキーを直ちに無効にして、新しいキーを申請してください。

3. システムをスキャンし、バックドアやマルウェアがないか確認します。

   • ウイルス対策ソフトウェアまたはマルウェア対策ツールを実行します。
   • Hostsファイルを確認し、悪意のあるサーバーアドレスに変更されていないことを確認してください。
   • ブラウザのデフォルトの検索エンジンとホームページを確認してください。一部の悪意のあるプラグインがこれらの設定を改ざんすることがあります。

4. アカウントに異常な活動がないか監視する

   • 取引所や銀行口座のログイン履歴を確認し、異常なIPログインが見つかった場合は、すぐにパスワードを変更し、2FAを有効にする必要があります。
   • 暗号通貨ウォレットの取引履歴を確認し、異常な送金がないか確認してください。
   • ソーシャルメディアアカウントがハッキングされていないか確認し、異常なダイレクトメッセージや投稿があれば、すぐにパスワードを変更する必要があります。

5. 公式にフィードバックを提供し、さらなるユーザー被害を防止する

   • プラグインが改ざんされた場合は、元の開発チームに連絡するか、Chrome公式に報告してください。
   • セキュリティチームに連絡し、リスク警告を発表して、より多くのユーザーに安全に注意するよう促すことができます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-7765950926df374a50ead853f995c6f3.webp)

ブラウザのプラグインはユーザーエクスペリエンスを向上させることができますが、同時にハッカー攻撃の突破口となり、データ漏洩や資産損失のリスクをもたらす可能性もあります。したがって、ユーザーは便利さを享受しながらも警戒を保ち、プラグインの慎重なインストールと管理、権限の定期的な確認、疑わしいプラグインの適時更新または削除など、良好なセキュリティ習慣を身につける必要があります。同時に、開発者やプラットフォーム側もセキュリティ対策を強化し、プラグインの安全性とコンプライアンスを確保する必要があります。ユーザー、開発者、プラットフォームが共同で取り組み、セキュリティ意識を高め、効果的な防護措置を実施することで、リスクを真に低減し、データと資産の安全を保障することができます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-79cda6aad1b8373145d89f5169d1faf1.webp)

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)