MetaMaskやCoinbaseを装う悪意あるFirefox拡張機能—暗号資産盗難の危険性

セキュリティ企業Koi Securityの調査により、MetaMaskやCoinbase、OKXなどの人気プラットフォームを装った40以上の偽Firefox拡張機能が発見されました。これらの拡張機能は暗号資産ウォレットの認証情報を盗むことを目的としており、広く利用されているオープンソースブラウザであるFirefoxユーザーの資産が危険に晒されていると警告しています。

報告書によると、少なくとも2025年4月から活動している大規模な攻撃キャンペーンが、Mozillaアドオンストアでまだ利用可能な悪意ある拡張機能を悪用しています。これにより、ブラウザのプラグイン審査プロセスに重大な欠陥があることが浮き彫りになりました。Koi Securityは、これらの偽拡張機能が正規のウォレットサービスと驚くほど正確に類似しており、同じ名称、ロゴ、ブランディングを使用してユーザーを騙していると指摘しています。

多くの場合、拡張機能はオープンソースウォレットのコードを複製し、通常のプラグインとして機能しながらも、暗号資産を盗むための悪意あるコードが巧みに挿入されています。詐欺の対象となったブランドには、MetaMask、Coinbase、OKX、Trust Wallet、Phantom、Exodus、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxなどが含まれます。

Koiは、共通の戦術・技術・手順および重複するインフラストラクチャを通じて、40以上の個別拡張機能をこのキャンペーンに関連付けました。報告書によると、このキャンペーンは現在も「活動的で持続的、そして進化して」おり、排除努力にもかかわらず新しいバージョンの拡張機能が出現し続けています。

インストールされると、偽拡張機能は静かにウォレットの機密情報を抽出し、攻撃者が制御するリモートサーバーに送信します。ログイン認証情報の窃取に加え、このマルウェアはユーザーの外部IPアドレスも収集し、さらなるプロファイリングや追加攻撃に利用する可能性があります。

研究者らは、拡張機能コードに埋め込まれたロシア語のコメントや、作戦で使用されたコマンドサーバーから取得したメタデータなど、ロシア語圏の脅威アクターを指す兆候を発見しました。帰属は暫定的なものの、Koiの研究者はこれらの指標から、組織化され技術的に熟練したグループが関与していると推測しています。

このようなキャンペーンは、小規模な暗号資産ユーザーが直面するリスクを浮き彫りにし、特に暗号資産の採用が進み、ブラウザベースのウォレット操作が一般的になるにつれてその危険性が高まっています。NASAAの調査によると、暗号資産関連の詐欺やソーシャルメディアを介した詐欺は、2025年においても投資家にとって最大の脅威の一つとなっています。