知って得するセキュリティのはなし その174
不正なChrome拡張機能「SHARPEXT」をインストールしてGmail等を盗聴する手口が報告される
1.このニュースをザックリ言うと
- 7月28日(現地時間)、セキュリティ調査会社の米Volexity社より、ChromeブラウザーにWebメールの盗聴を行う不正な拡張機能をインストールする攻撃手法について取り上げられています。
- 「SHARPEXT」と呼ばれる拡張機能は、北朝鮮が関与するとされるサイバー攻撃集団「SharpTongue」によって2021年9月頃から使用されており、アカウント情報を盗むなどの挙動はとらないものの、インストールされたブラウザーでGMail(およびAOLメール)を開いた際に表示されたメールを盗み見るとされています。
- SHARPEXTがインストールされるブラウザーはChrome以外にもEdge等のChromiumエンジンを用いたブラウザーが対象とされています。
2.執筆者からの所感等
- SHARPEXTは、攻撃者が何らかの手段でPCに侵入し、Chromeの設定ファイルの奪取・改ざん等を行うことで密かにインストールされるとのことです。
- 通常はGoogle等による正規の拡張機能サイト以外からの自動的なインストール・有効化に際しては警告が事前に表示されますが、SHARPEXTをインストールさせようとする際は同時に警告を出すウィンドウを表示させないためのスクリプト等も実行するとされています。
- SHARPEXTのインストールや警告の妨害などの一連の行動は、例えば遠隔からのPCへの不正ログインの他、不審なプログラムの実行等により行われることも考えられますので、常日頃からアンチウイルスやUTMによる防御を行っていること等がこのような攻撃の回避に重要と言えるでしょう。
