はじめに – 悪質なChrome拡張機能が企業の認証情報を狙う
サイバーセキュリティ企業Socket社は、企業の人事(HR)およびERPプラットフォームを標的とした悪質なChrome拡張機能を発見しました。これらの拡張機能は、認証情報を窃取したり、セキュリティインシデント対応に使われる管理ページをブロックしたりすることを目的としていました。
このキャンペーンでは、Workday、NetSuite、SAP SuccessFactorsの各プラットフォームが標的とされ、合計で2,300回以上インストールされていました。
多様な手口で展開された攻撃キャンペーン
Socket社によると、このキャンペーンは以下の3つの異なる攻撃タイプを展開していました。
- クッキーの外部流出:リモートサーバーへの認証クッキーの送信
- DOM操作:セキュリティ管理ページのブロック
- 双方向クッキーインジェクション:直接的なセッションハイジャック
これらの拡張機能は異なる発行元によって公開されていたものの、同じ企業プラットフォームを標的とし、同一のセキュリティツール検出リスト、APIエンドポイントパターン、コード構造を共有しており、連携した作戦であることを示唆しています。
企業ユーザーを欺く巧妙なマーケティング
これらの拡張機能は、企業HRおよびERPプラットフォームのユーザー向けに、生産性の向上、ワークフローの合理化、セキュリティ制御の強化を謳って宣伝されていました。いくつか Extension は、Workday、NetSuiteなどの「プレミアムツール」への簡易アクセスを提供すると主張していました。
発見された拡張機能のうち4つは「databycloud1104」という開発者名で公開され、残りの1つは「Software Access」という異なるブランド名を使用していました。
- 「Data By Cloud 2」:1,000回インストールされ、複数の企業アカウントを管理するユーザー向けの一括管理ツールやダッシュボードとして宣伝。
- 「Tool Access 11」:セキュリティに特化したアドオンとして位置付けられ、機密性の高い管理機能へのアクセスを制限すると主張。
しかし、Socket社の調査では、これらの拡張機能はクッキー抽出、認証情報外部流出、セキュリティ管理ページのブロックについて一切開示しておらず、プライバシーポリシーにもユーザーデータの収集に関する言及はありませんでした。
認証クッキーの巧妙な窃取と管理ページのブロック
拡張機能は、標的ドメインの認証クッキー「__session」(アクティブなログイン情報を含む)を継続的に抽出し、60秒ごとにリモートのコマンド&コントロールサーバーへ外部送信していました。これにより、攻撃者はユーザーがログアウトしてもアクセスを維持することができました。
さらに、「Tool Access 11」と「Data By Cloud 2」の2つの拡張機能は、Workday内のセキュリティおよびインシデント対応ページへのアクセスをブロックしました。ページタイトルの検出を通じて、これらの拡張機能はページのコンテンツを消去するか、管理者を別のページにリダイレクトしていました。
- 「Tool Access 11」:認証ポリシー、セキュリティプロキシ設定、IP範囲管理、セッション制御など44の管理ページを標的。
- 「Data By Cloud 2」:パスワード管理、アカウント無効化、2FAデバイス制御、セキュリティ監査ログなどを含む56ページに標的を拡大。
これらのブロックは、セキュリティインシデント発生時に正規の管理者が対応できないようにすることを狙ったものです。
最も悪質な双方向クッキーインジェクション
「Software Access」拡張機能は、最も悪質な挙動を実装していました。この機能により、窃取したセッショントークンを送信するだけでなく、攻撃者のサーバーから盗まれたクッキーを受信し、それをブラウザに直接インジェクションすることが可能でした。
C2を介して認証クッキーを設定することで、攻撃者はユーザー名、パスワード、多要素認証コードを入力することなく、認証済みのセッションを乗っ取ることができました。Socket社は、これにより標的の企業プラットフォームで即座のアカウント乗っ取りが可能になったと指摘しています。
対策と推奨事項
Socket社はこれらの拡張機能をGoogleに報告し、記事公開時には既に削除されているとのことです。
これらの拡張機能を使用していたユーザーは、直ちにセキュリティ管理者に報告し、対象プラットフォームのパスワードを変更することが強く推奨されます。