ChromeとFirefoxユーザーを狙った暗号資産クレデンシャル攻撃が多発

主要ウェブブラウザであるGoogle ChromeとMozilla Firefoxが深刻なセキュリティ脅威に直面しています。Chromeでは危険なゼロデイ脆弱性が悪用されている一方、Firefoxユーザーは悪意のあるブラウザ拡張機能の攻撃を受けています。7月1日、サイバーセキュリティ専門家は45の偽Firefox拡張機能が関与する悪質なキャンペーンを発見しました。これらの拡張機能は、無防備なユーザーから暗号資産ウォレットの詳細情報を盗み出すよう設計されています。

悪意あるFirefox拡張機能は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxなど、広く使用されている正規の暗号資産ウォレットツールになりすましています。Koi Securityのセキュリティ研究者Yuval Ronen氏は、これらの拡張機能がユーザーのウォレット秘密鍵や認証情報を盗むと報告しました。偽拡張機能の発見には、共有TTP（戦術・技術・手順）とインフラの分析が費やされました。この攻撃キャンペーンは2025年4月から続いており、ブラウザ内でのさらなる悪質な活動の発見に向けて進化を続けています。

攻撃手法として、まず評価・レビュー・ブランディング・機能性を通じて信頼を獲得し、拡張機能が広く採用され高評価を受けているように見せかけます。信頼を得た後、実際のサービスと視覚的に類似した名前とロゴを使用してユーザーを欺きます。オープンソースの場合、拡張機能は実際のコードベースを複製し、独自の悪意のあるロジックを挿入して、個人データを秘密裏に盗む動作を行うよう改ざんされます。

Koi Securityは「これらの拡張機能は標的となるWebサイトから直接ウォレット認証情報を抽出し、攻撃者が制御するリモートサーバーに送信します。初期化時には被害者の外部IPアドレスも伝送され、追跡や標的設定に使用されている可能性があります」と述べています。

2025年には暗号資産関連のハッキングが急増しており、5月にはCoinbase Globalがハッカーによる個人情報流出により7万人以上の顧客が攻撃や脅迫の危険にさらされていると発表しました。OFACやFATFなどの国際機関も暗号資産ハッキングに関連する様々な問題に対処していますが、意識が高まっているにもかかわらず、数百万人が依然としてこれらの被害に遭っています。

Koi Securityによるリスク軽減策:
・検証済みの発行元からのみ拡張機能をインストール
・ブラウザ拡張機能を完全なソフトウェア資産として扱う
・検証済み拡張機能のみのインストールを許可/制限する拡張機能を使用
・所有権移転や危険兆候を検知するための定期的な監視

これらの対策は、Firefox用の悪意ある拡張機能をうっかりダウンロードした従業員を防ぐために、Koi Securityの研究者Ronen氏が推奨するものです。