ブラウザ拡張機能は便利ですが、その便利さの裏には大きなリスクが潜んでいます。セキュリティ研究者らは、仮想通貨取引所MEXCのユーザーを標的にした悪意のあるChrome拡張機能「MEXC API Automator」を発見しました。この拡張機能は一見、取引ボットとの連携を簡素化する正当なツールのように見せかけていますが、実際にはユーザーのAPIキーを窃取し、攻撃者に暗号資産の完全なアクセス権を与えてしまうものです。本記事では、この攻撃の詳細なメカニズムを解説し、仮想通貨ユーザーが取るべき防御策をご紹介いたします。
この記事のポイント
- Chrome拡張機能「MEXC API Automator」が仮想通貨ユーザーのAPIキーを窃取
- UIを偽装し、引き出し権限を有効にしながら無効と表示する巧妙な手口
- 窃取されたキーはTelegram経由で攻撃者に送信される
- 拡張機能の権限管理とAPIキーの定期的な監査が重要
ブラウザ拡張機能という攻撃ベクトル—便利さに潜む脅威
ブラウザ拡張機能は、私たちのウェブ体験を豊かにする強力なツールです。広告ブロック、パスワード管理、生産性向上など、様々な機能を追加できます。しかし、この便利さには代償があります。拡張機能はブラウザ上でユーザーが閲覧するすべてのウェブページにアクセスでき、DOM(Document Object Model)を自由に操作できる強力な権限を持っているのです。
正規のChrome Web Storeでさえ、悪意のある拡張機能が紛れ込むことがあります。今回発見された「MEXC API Automator」も、2025年9月1日からChrome Web Storeで公開されており、セキュリティ研究者に発見されるまで数ヶ月間、ストア上に存在し続けていました。ダウンロード数は29件と比較的少数でしたが、仮想通貨取引という高価値な標的を狙っているため、たった1人の被害者でも攻撃者にとっては大きな利益となり得ます。
攻撃の技術的詳細—巧妙なAPIキー窃取メカニズム
この悪意ある拡張機能は、表面上は「取引ボットをMEXC取引所に接続を簡素化するツール」として宣伝されています。実際、仮想通貨取引ボットを使用するトレーダーにとって、APIキーの設定は煩雑な作業であり、これを簡素化するツールへの需要は確かに存在します。攻撃者はこの需要を巧みに利用しているのです。
拡張機能の動作は非常に巧妙です。ユーザーがMEXCのAPI管理ページ(URLパスが「/user/openapi」を含むページ)にアクセスすると、拡張機能が自動的に起動します。そして、ユーザーに代わって新しいAPIキーをプログラム的に生成します。ここで最も悪質なのは、引き出し(Withdraw)権限の扱いです。拡張機能は生成したAPIキーに引き出し権限を有効にしながら、UI上では無効と偽装して表示するのです。ユーザーは自分が作成したAPIキーに引き出し権限がないと思い込みますが、実際には攻撃者がユーザーの資産を自由に引き出せる状態になっています。
情報流出の経路—Telegramを悪用したC2インフラ
窃取されたAPIキー(アクセスキーとシークレットキー)は、攻撃者が管理するTelegramボットにHTTPS POSTリクエストで送信されます。Telegramは匿名性が高く、ボットAPIを通じた自動化が容易なため、サイバー犯罪者に好まれるC2(Command and Control)インフラとなっています。
この攻撃の深刻な点は、一度APIキーが流出すると、被害者がそれに気づいて明示的に取り消すまで、キーが有効であり続けることです。攻撃者は任意のタイミングで被害者のアカウントにアクセスし、取引を実行したり、資産を引き出したりすることができます。さらに、この拡張機能は既にブラウザで認証されているセッションを悪用するため、パスワードの窃取やセキュリティ機能の迂回は一切必要ありません。正規ユーザーの権限をそのまま借用できる点が、この攻撃を非常に効果的なものにしています。
開発者「jorjortan142」の正体—属性分析
この拡張機能の開発者は「jorjortan142」という名前で登録されています。Chrome Web Storeのポリシーでは開発者の本人確認が求められますが、実際にはメールアドレスの確認程度で登録が可能です。攻撃者は使い捨てのアカウントを使用している可能性が高く、身元を特定することは困難です。
しかし、この攻撃のインフラ(Telegramボット、Chrome拡張機能)は比較的シンプルであり、高度な技術力を持つ攻撃グループではなく、個人または小規模なグループによる犯行と推測されます。ただし、シンプルだからといって効果がないわけではありません。むしろ、単純な手法が依然として有効であることを示しています。
実践してみよう
仮想通貨取引所を利用している方は、以下のコマンドやチェックでAPIキーと拡張機能のセキュリティを確認できます。
# Chromeにインストールされている拡張機能の一覧を確認(Linux/Mac)
ls -la ~/.config/google-chrome/Default/Extensions/
# 特定の拡張機能ID(悪意ある拡張機能)が存在しないか確認
find ~/.config/google-chrome -name "pppdfgkfdemgfknfnhpkibbkabhghhfh" 2>/dev/null
# ChromeのExtension APIを使用している拡張機能のログを確認
# chrome://extensions/ にアクセスし、デベロッパーモードをONにして各拡張機能の詳細を確認
# APIキーの権限確認(取引所のAPI管理画面で実施)
# 不要な引き出し権限が有効になっていないか確認すること
また、Chrome拡張機能の管理画面(chrome://extensions/)で以下を確認してください:
1. インストールした覚えのない拡張機能がないか
2. 各拡張機能の権限が適切か(「すべてのウェブサイトのデータの読み取りと変更」は特に注意)
3. 開発者モードでソースコードを確認できないか
セキュリティTips
-
APIキーの最小権限原則: 取引ボット用のAPIキーには、絶対に引き出し(Withdraw)権限を付与しないでください。取引と残高確認の権限のみを付与し、万が一キーが漏洩しても資産を直接盗まれないようにしましょう。また、IP制限機能がある場合は、特定のIPアドレスからのみAPIアクセスを許可する設定を行いましょう。
-
拡張機能の定期監査: 月に一度は、インストールされている拡張機能を見直しましょう。使用していない拡張機能は削除し、残りの拡張機能についても開発者情報、レビュー、更新頻度を確認してください。不審な点があれば即座に削除し、関連するパスワードやAPIキーを変更してください。
-
取引所の2FA必須化: APIキーの作成・編集には必ず二段階認証(2FA)を要求する設定にしてください。また、APIキー作成時にメール通知が届く設定にし、身に覚えのないキー作成を即座に検知できるようにしましょう。多くの取引所では、APIキーの操作にホワイトリストIPアドレスを設定することも可能です。
-
定期的なキーローテーション: 使用中のAPIキーは定期的に(例えば3ヶ月ごとに)新しいキーに置き換えてください。古いキーは即座に削除し、万が一過去にキーが漏洩していた場合でも、被害を最小限に抑えられます。また、すべてのAPIキーの作成日と権限を定期的に確認し、不審なキーが存在しないかチェックしてください。
まとめ
今回発見された「MEXC API Automator」拡張機能は、仮想通貨ユーザーを標的にした巧妙な攻撃の一例です。正規のChrome Web Storeで配布され、一見正当なツールを装いながら、ユーザーのAPIキーを窃取し、資産へのフルアクセス権を攻撃者に与えてしまいます。特に悪質なのは、引き出し権限を有効にしながらUI上では無効と偽装する手口です。仮想通貨取引を行う方は、拡張機能のインストールには細心の注意を払い、APIキーには最小限の権限のみを付与し、定期的な監査を行うことが不可欠です。便利なツールほど、その裏側に潜むリスクを意識する必要があります。
📎 元記事: Malicious Chrome Extension Steals MEXC API Keys by Masquerading as Trading Tool
コメント