悪質なChrome拡張機能「Phantom Shuttle」の正体
海外サイトのThe Hacker Newsによると、Google Chromeの拡張機能「Phantom Shuttle」が、ユーザーの認証情報や通信内容を盗み出していたことが明らかになりました。この拡張機能は、開発者や海外貿易担当者向けとして、「マルチロケーションネットワーク速度テストプラグイン」と謳っていましたが、その実態は悪意のあるものでした。
今回発見されたのは、同じ開発者によって公開された、同じ名前の2つの拡張機能です。
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2017年11月26日公開、約2,000ユーザー
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 2023年4月27日公開、約180ユーザー
どちらの拡張機能も、月額1.40ドルから13.50ドル(約9.9~95.9中国元)のサブスクリプション料金を請求していましたが、実際にはユーザーのデータを盗み取るための機能が仕込まれていました。
ユーザーを欺く巧妙な手口
これらの拡張機能は、あたかも正規のVPNサービスであるかのように見せかけ、ユーザーが料金を支払うと「VIPステータス」が付与され、自動的に「smarty」プロキシモードが有効になる仕組みです。このモードでは、170以上の指定されたドメインへのトラフィックが、攻撃者の管理するコマンド&コントロール(C2)サーバーを経由するようにルーティングされます。
Socket社のセキュリティ研究者によると、この拡張機能は、ユーザーが気づかないうちにHTTP認証チャレンジに偽のプロキシ認証情報を挿入することで、通信を傍受(マン・イン・ザ・ミドル攻撃)していました。具体的には、jquery-1.12.2.min.js と scripts.js という2つのJavaScriptライブラリに悪意のあるコードが追加されており、chrome.webRequest.onAuthRequired というリスナーに登録されたコードが、ブラウザが認証情報を要求する前に、あらかじめ設定されたプロキシ認証情報(topfany / 963852wei)を送信してしまうのです。
狙われたのは170以上の高価値ドメイン
「smarty」プロキシモードでトラフィックがルーティングされるドメインには、以下のようなものが含まれています。
- 開発者向けプラットフォーム: GitHub, Stack Overflow, Docker
- クラウドサービス: Amazon Web Services, Digital Ocean, Microsoft Azure
- エンタープライズソリューション: Cisco, IBM, VMware
- ソーシャルメディア: Facebook, Instagram, Twitter
- アダルトサイト
アダルトサイトが含まれているのは、ユーザーを脅迫する目的がある可能性も指摘されています。
恐るべきデータ窃取能力
VIPモードが有効になっている間、拡張機能はターゲットドメインにアクセスしているユーザーのメールアドレス、パスワード、クレジットカード番号、認証クッキー、閲覧履歴、フォームデータ、APIキー、アクセストークンなどを収集します。さらに、拡張機能は60秒ごとにC2サーバー(phantomshuttle[.]space)と通信し、VIPユーザーのメールアドレスやパスワードを平文で送信していました。
この仕組みにより、攻撃者はユーザーのリアルタイムな通信内容を傍受し、応答を改ざんしたり、任意のペイロードを注入したりすることが可能になります。開発者向けの秘密情報が盗まれれば、サプライチェーン攻撃につながる可能性も指摘されています。
犯人は誰なのか?
この8年間にわたる活動の背後に誰がいるのかは不明ですが、拡張機能の説明文に中国語が使用されていること、AlipayやWeChat Payといった決済方法が導入されていること、C2ドメインがAlibaba Cloudでホストされていることなどから、中国を拠点とした犯行である可能性が高いとSocket社は推測しています。
企業やユーザーへの影響と対策
この拡張機能は、正規のサービスに見せかけた巧妙な詐欺であり、ユーザーは知らず知らずのうちに通信全体を危険にさらしていました。Socket社は、この件について「サブスクリプションモデルは被害者の維持と収益化を生み出し、専門的なインフラと決済統合は正当性の見せかけを提供する」と述べています。
ユーザーへの注意点:
- もし「Phantom Shuttle」拡張機能をインストールしている場合は、直ちにアンインストールしてください。
- ブラウザ拡張機能の利用には常に注意が必要です。提供元が信頼できるか、必要な権限は何かをよく確認しましょう。
企業の情報セキュリティ担当者へ:
- 拡張機能の許可リスト(Allowlisting)を導入し、許可されていない拡張機能の利用を制限してください。
- サブスクリプション支払いシステムとプロキシ権限を併せ持つ拡張機能に注意を払い、監視を強化してください。
- 疑わしいプロキシ認証の試みがないか、ネットワーク監視を徹底してください。
ブラウザ拡張機能は、企業にとって管理されていないリスク層となりつつあります。今回の件は、その危険性を改めて浮き彫りにしました。