WorkdayやNetSuiteになりすます！5つの悪意あるChrome拡張機能がアカウント乗っ取りを狙う

Chrome拡張機能は、ブラウザの機能を拡張し業務効率を向上させる便利なツールです。しかし、その便利さの裏には深刻なセキュリティリスクが潜んでいます。セキュリティ研究者らが発見した5つの悪意あるChrome拡張機能は、WorkdayやNetSuiteといった企業向けHR・ERPプラットフォームになりすまし、認証情報の窃取とセッションハイジャックを通じてアカウント乗っ取りを実行していました。最も恐ろしいのは、これらの拡張機能が管理者による対応を積極的に妨害する機能を持っていたことです。本記事では、この攻撃の詳細と、組織として講じるべき対策について詳しく解説します。

この記事のポイント

• WorkdayやNetSuiteを装った5つの悪意あるChrome拡張機能が発見された
• 60秒ごとに認証Cookieを窃取し、攻撃者サーバーに送信する
• 44の管理ページへのアクセスをブロックし、セキュリティチームの対応を妨害
• 拡張機能は削除されたが、サードパーティサイトでは依然として入手可能

発見された5つの悪意ある拡張機能

今回発見された悪意ある拡張機能は以下の5つです。「DataByCloud Access」（251件のインストール）、「Tool Access 11」（101件のインストール）、「DataByCloud 1」（1,000件のインストール）、「DataByCloud 2」（1,000件のインストール）、「Software Access」（27件のインストール）。これらの拡張機能は、一見すると正規の生産性向上ツールに見えるよう巧妙に偽装されていました。

Chromeウェブストアからは既に削除されていますが、問題はそれで終わりではありません。これらの拡張機能は、サードパーティのダウンロードサイトでは依然として入手可能な状態が続いています。企業のセキュリティポリシーで公式ストア以外からの拡張機能インストールを禁止していない場合、従業員が誤ってこれらをインストールしてしまうリスクが残っています。また、既にインストール済みの環境では、拡張機能が自動更新されないため、悪意あるコードがそのまま残り続ける可能性があります。

認証Cookieの窃取メカニズム

これらの拡張機能の主要な攻撃手法は、認証Cookieの窃取です。Workday、NetSuite、SuccessFactorsといった企業向けプラットフォームのドメインを監視し、60秒ごとに認証Cookieを収集して攻撃者のサーバーに送信します。認証Cookieとは、ユーザーがログイン済みであることを証明する情報であり、これを入手した攻撃者はパスワードを知らなくてもアカウントにアクセスできます。

特に深刻なのは、最も高度な亜種がセッションハイジャック機能を備えていることです。この亜種は、窃取したCookieを受け取り、攻撃者のブラウザに注入する機能を持っています。これにより、攻撃者は正規ユーザーになりすまして直接アカウントにアクセスできます。二要素認証を設定していても、Cookieベースのセッションハイジャックには効果がありません。なぜなら、認証プロセスは既に完了しており、Cookieはその「認証済み」状態を表すトークンだからです。

管理者対応を妨害する巧妙な仕組み

これらの悪意ある拡張機能の中でも「Tool Access 11」は、特に悪質な機能を実装していました。Workday内の44の管理ページへのアクセスをブロックし、セキュリティチームによる対応を積極的に妨害するのです。ブロック対象には、認証管理、セキュリティプロキシ設定、セッション制御といった重要な機能が含まれています。

Socketの研究者によれば、「セキュリティチームは不正アクセスを検知できても、通常のチャネルを通じた修復ができない」という深刻な状況に陥ります。パスワード変更、二要素認証の管理、監査ログへのアクセスが、正規の管理者からはできなくなるのです。これは、単なるデータ窃取を超えた、組織のセキュリティ対応能力そのものを無力化する攻撃と言えます。

セキュリティツールの検知を回避

さらに巧妙なことに、これらの拡張機能は23のセキュリティ関連ツールを監視しています。EditThisCookie、ModHeader、Redux DevToolsなど、開発者やセキュリティ担当者がよく使用するツールがリストに含まれています。これらのツールがインストールされていることを検知すると、拡張機能は動作を変更し、不審な振る舞いを隠蔽する可能性があります。

この監視機能は二つの目的を持っていると考えられます。一つは、セキュリティ調査を行っている可能性のある環境を特定すること。もう一つは、自身の動作が妨害されていないかを確認することです。たとえば、EditThisCookieはCookieの確認や編集に使用されるツールであり、これが存在する環境ではCookie窃取が発覚するリスクが高くなります。攻撃者はこうした環境を避けることで、長期間にわたって検知を逃れようとしているのです。

企業への影響と被害の深刻さ

この攻撃が企業に与える影響は甚大です。WorkdayやNetSuiteは、人事情報や財務情報を管理する基幹システムであり、これらへのアクセスが奪われることは、機密性の高いデータの漏洩に直結します。従業員の給与情報、社会保障番号、銀行口座情報、さらには企業の財務データが攻撃者の手に渡る可能性があります。

また、セッションハイジャックによるなりすましは、不正な操作を正規ユーザーの行動として記録させることができます。監査ログには攻撃者のIPアドレスが残る可能性がありますが、それ以外の点では正規のアクセスと区別がつきにくくなります。後になって不正が発覚しても、いつから被害が始まっていたのか、どの操作が正規でどの操作が不正だったのかを特定することが極めて困難になるのです。

実践してみよう

組織を保護するために、以下の対策を直ちに実施することを推奨します。

# インストール済みのChrome拡張機能を確認（Windows環境）
# Chrome拡張機能のディレクトリを確認
Get-ChildItem "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Extensions" | ForEach-Object {
    $manifest = Get-Content "$($_.FullName)\*\manifest.json" -ErrorAction SilentlyContinue | ConvertFrom-Json
    if ($manifest) {
        [PSCustomObject]@{
            Name = $manifest.name
            Version = $manifest.version
            ID = $_.Name
        }
    }
}

# 特定の悪意ある拡張機能を検索（拡張機能名で検索）
$malicious_names = @("DataByCloud", "Tool Access", "Software Access")
Get-ChildItem "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Extensions" -Recurse -Filter "manifest.json" | ForEach-Object {
    $content = Get-Content $_.FullName -Raw
    foreach ($name in $malicious_names) {
        if ($content -match $name) {
            Write-Warning "潜在的に悪意ある拡張機能を検出: $($_.Directory.Parent.Name)"
        }
    }
}

# グループポリシーでサードパーティからの拡張機能インストールを禁止
# レジストリ設定例（管理者権限で実行）
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "ExtensionInstallBlocklist" -Value "*" -PropertyType String -Force
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "ExtensionInstallAllowlist" -Value "許可する拡張機能ID" -PropertyType String -Force

これらのコマンドにより、組織内のChrome拡張機能を監査し、不審な拡張機能を特定できます。グループポリシーを使用して、許可リストに含まれない拡張機能のインストールを禁止することも効果的です。

セキュリティTips

• 拡張機能の定期的な監査を実施する: 組織内でインストールされている拡張機能を定期的にリストアップし、不要または不審なものを削除しましょう。MDM（モバイルデバイス管理）ソリューションを使用すれば、一元的に管理できます。

• 拡張機能のインストールを許可リスト方式に変更する: 「すべてを許可して問題があれば対処」ではなく、「許可したものだけインストール可能」という方式に変更することで、未知の悪意ある拡張機能によるリスクを大幅に低減できます。

• Cookieベースの攻撃への対策を強化する: セッションタイムアウトを短く設定し、重要な操作には再認証を要求するよう設定しましょう。また、IPアドレスやデバイスフィンガープリントの変更を検知してセッションを無効化する機能がある場合は有効にしてください。

• 不審なアクセスの監視を強化する: 通常とは異なる時間帯や地域からのアクセス、短時間での大量データダウンロードなど、異常な振る舞いを検知できるよう監視体制を整備しましょう。SIEMやUEBAソリューションの導入を検討してください。

まとめ

Chrome拡張機能を悪用したこの攻撃は、企業のセキュリティにおける新たな脅威を浮き彫りにしています。ブラウザ拡張機能は、私たちの業務効率を向上させる一方で、適切に管理されなければ深刻なセキュリティホールになり得ます。特に今回の攻撃では、単なるデータ窃取にとどまらず、セキュリティチームによる対応そのものを妨害する機能が組み込まれていた点が注目に値します。

組織としては、拡張機能の許可リスト管理、定期的な監査、不審なアクセスの監視といった多層的な対策が求められます。また、従業員に対しては、拡張機能をインストールする際のリスクについて教育を行い、公式ストア以外からのインストールを禁止する明確なポリシーを周知することが重要です。ブラウザは現代のビジネスにおいて最も重要なツールの一つです。そのセキュリティを確保することは、組織全体のセキュリティを守ることに直結するのです。

📎 元記事: Five Malicious Chrome Extensions Impersonate Workday and NetSuite to Hijack Accounts