新種のマルウェア「Stanley」の登場
2026年1月26日、URLを変更せずにユーザーを悪意ある偽サイトへ誘導する新種のマルウェアツールキット「Stanley」がロシアのサイバー犯罪フォーラムで販売されていることが明らかになりました。価格は2,000ドルから6,000ドルで、Google Chromeウェブストアのレビュープロセスを通過できることが保証されていると宣伝されています。これは、ブラウザセキュリティが現代のサイバーセキュリティにおいて極めて重要な脆弱性となっていることを示唆しています。
巧妙な手口:ブラウザ乗っ取りの詳細
Stanleyは、「Notely」というシンプルなメモアプリを装った偽のChrome拡張機能として動作します。一度インストールされると、ユーザーがアクセスするすべてのウェブサイトを監視・制御する権限を獲得します。標的となるBinanceやCoinbaseのようなサイトにユーザーがアクセスすると、Stanleyは隠されたiframe(ウェブページ内に埋め込まれた別のウェブページ)を使用して、本物のウェブサイトの上に偽のバージョンをオーバーレイ表示します。これにより、ブラウザのアドレスバーには正当なドメイン名(例: binance.com)が表示されたまま、ユーザーは攻撃者によって制御されたフィッシングページを操作することになります。この巧妙な手口は、ユーザーを欺いてログイン情報を入力させることを目的としています。
Google Chromeウェブストアを欺く戦略
Stanleyの最も懸念される側面は、Googleのレビュープロセスを通過し、正当性を獲得するように設計されている点です。Stanleyは2026年1月12日に初めて登場し、「Googleストアのモデレーションを通過する」と明示的に宣伝されていました。当初は正当なメモ作成機能を提供することで高評価を獲得し、その後の悪意あるアップデートによってマルウェア機能が有効化されました。これは、アプリストアの「一度レビューされたら、いつでも更新可能」というモデルが悪用された典型的な例です。
セキュリティ研究者らは2026年1月21日にGoogleおよびホスティングプロバイダーにStanleyを報告しました。翌日にはコマンド&コントロール(C2)サーバーがオフラインになりましたが、悪意ある拡張機能はその後もChromeウェブストアに残り、さらなる被害者を生み出しました。
技術的側面と攻撃者の管理
このツールキット自体は比較的シンプルな技術を使用しています。拡張機能は10秒ごとにC2サーバーと通信し、ハイジャックの指示を待ちます。攻撃者はウェブベースのコントロールパネルを通じて、感染したすべてのユーザー、そのIPアドレス、ブラウジング履歴を把握できます。また、必要に応じて特定のハイジャックルールを個々のユーザーに適用したり、ブラウザから発信されたかのように見える偽のChrome通知を送信したりすることも可能です。
Stanleyは被害者のIPアドレスを固有の識別子として使用し、攻撃者が地域に基づいてターゲットを絞ったり、複数のブラウザ間でユーザーを関連付けたりすることを可能にします。コードにはロシア語のコメントが含まれており、プライマリサーバーがシャットダウンされた場合でも連絡を維持するためのフォールバックドメインも設定されています。
対策とセキュリティの重要性
Stanleyは、ブラウザベースの攻撃における根本的な変化を示しています。最近では、DarkSpectre(880万ユーザーに影響)、ChatGPTの会話を盗む偽のAI拡張機能、CrashFixマルウェアなど、同様の脅威が報告されています。これらは、ブラウザ拡張機能が主要な攻撃経路となっていることを示しています。
- 組織向け対策: Chrome EnterpriseやEdge for Businessを通じて、厳格な拡張機能のホワイトリスト化を実施し、明示的に承認されたツール以外はすべてブロックすることが最善の防御策です。
- 個人向け対策: 拡張機能を定期的に監査し、積極的に使用していないものは削除してください。「すべてのウェブサイト」や「ブラウジング履歴」へのアクセスを要求する拡張機能には、特に注意を払う必要があります。
アプリストアのレビュープロセスが現在のモデルを超えて進化しない限り、悪意ある拡張機能はセキュリティチェックを回避し、数百万のユーザーに到達し続けるでしょう。
検出されたIoC (Indicators of Compromise)
- C2 ドメイン:
api.notely.fun - C2 ログインパネル:
notely.fun/login - API エンドポイント:
http://api.notely.fun/api - IP アドレス:
72.61.83.67