Trusted Design
Adversaries may abuse software extensions to establish persistent access to victim systems. Software extensions are modular components that enhance or customize the functionality of software applications, including web browsers, Integrated Development Environments (IDEs), and other platforms.(Citation: Chrome Extension C2 Malware)(Citation: Abramovsky VSCode Security) Extensions are typically installed via official marketplaces, app stores, or manually loaded by users, and they often inherit the permissions and access levels of the host application.
Malicious extensions can be introduced through various methods, including social engineering, compromised marketplaces, or direct installation by users or by adversaries who have already gained access to a system. Malicious extensions can be named similarly or identically to benign extensions in marketplaces. Security mechanisms in extension marketplaces may be insufficient to detect malicious components, allowing adversaries to bypass automated scanners or exploit trust established during the installation process. Adversaries may also abuse benign extensions to achieve their objectives, such as using legitimate functionality to tunnel data or bypass security controls.
The modular nature of extensions and their integration with host applications make them an attractive target for adversaries seeking to exploit trusted software ecosystems. Detection can be challenging due to the inherent trust placed in extensions during installation and their ability to blend into normal application workflows.
T1176「Browser Extensions」(ブラウザ拡張機能の悪用) は、Google Chrome、Microsoft Edge、Safari、FirefoxなどのWebブラウザの「拡張機能(プラグイン/アドオン)」の仕組みを悪用して、標的の環境に潜伏したり情報を盗み出したりする手法です。
この手法は、主に「永続化(Persistence)」、「防御回避(Defense Evasion)」、そして「情報収集(Credential Access / Collection)」の目的で実行されます。
OSそのもののセキュリティ(Windows Defenderなど)が強化された現代において、ユーザーが最も多くの時間を費やし、機密情報を入力する「Webブラウザ」の内部に直接寄生するという、非常に巧妙かつ強力なアプローチです。
この手法で攻撃者は、「OSに怪しい常駐プログラムを置くことなく、ユーザーのWebブラウジング(ログイン、オンラインバンキング、社内SaaSの利用など)を完全に監視・操作すること」を実現します。
Webトラフィックの盗聴・改ざん:
ユーザーが見ているWebページの内容を読み取るだけでなく、表示される内容を書き換えたり(偽のログイン画面の挿入など)、入力されたパスワードやクレジットカード情報をリアルタイムで窃取(キーロギング)したりします。
Cookieやセッションの奪取:
クラウドサービス(AWS、GitHub、Salesforce、Microsoft 365など)へのログイン時に使用されるセッションCookieを盗み出し、MFA(多要素認証)をバイパスして攻撃者自身の端末から不正アクセスを行います。
強固な永続化:
ブラウザの同期機能(Sync)を悪用されると、攻撃者が仕込んだ不正な拡張機能が、ユーザーが自宅やスマートフォンなど別の端末で同じブラウザアカウントにログインした際にも自動的に同期・インストールされ、感染が勝手に拡大します。
攻撃者は主に以下の3つのパターンでブラウザ拡張機能を悪用します。
HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist実行環境の確保:
上記のいずれかの方法で、ブラウザ内部に悪意あるJavaScriptコードを拡張機能として常駐させます。
APIの悪用:
ブラウザが拡張機能向けに提供している強力なAPI(例: chrome.webRequest や chrome.cookies)を利用する権限を要求・確保します。
データ窃取:
ユーザーが社内の勤怠システムや銀行のサイト、SNSなどにログインするのを待ち、入力された認証情報やCookieをリアルタイムで横取りします。
C2通信とExfiltration:
盗み出したデータを、ブラウザ自体の正規のHTTP/HTTPS通信に紛れ込ませて、攻撃者のC2サーバーへと送信します。
ブラウザ管理の厳格化と、エンドポイントでの拡張機能の統制が必須です。
拡張機能のホワイトリスト化(企業における最重要対策):
Active Directoryのグループポリシー(GPO)やMDM(モバイルデバイス管理)ツールを使用して、従業員がブラウザにインストールできる拡張機能を「会社が安全性を確認し、承認したホワイトリスト(ID)のみ」に制限します。未承認の拡張機能のインストールは一律でブロックします。
デベロッパーモードの禁止:
ポリシー設定により、一般従業員のブラウザにおける「デベロッパーモード」の使用、およびローカルの未署名拡張機能の読み込みを強制的に無効化します。
EDR/SIEMによるレジストリ・フォルダ監視:
ChromeやEdgeの強制インストール用レジストリキー(ExtensionInstallForcelist など)に対する不審な書き込みや、ローカルのブラウザプロファイル内(例: AppData\Local\Google\Chrome\User Data\Default\Extensions\)への予期せぬファイル追加をEDRで検知します。
CWE-267: Privilege Defined With Unsafe Actions:
拡張機能に与えられる権限(すべてのウェブサイトのデータの読み取り・変更など)が大きすぎるために発生するセキュリティ上の不備。
CWE-494: Download of Code Without Integrity Check:
拡張機能のアップデートや動的スクリプトの読み込み時に、整合性や信頼性の検証が不十分な問題。
Grandoreiro / ViperSoftX:
これらの有名なマルウェアは、Windows端末に侵入すると、ブラウザの通信を乗っ取るためにカスタムの悪意あるブラウザ拡張機能(T1176)を強制的にインストールします。特に仮想通貨(暗号資産)のWebウォレットを標的にし、ユーザーが送金画面を開いた瞬間に送金先アドレスを攻撃者のアドレスに書き換えるといった攻撃を行いました。
ストアでの大量削除インシデント:
GoogleやMicrosoftは、定期的にストアの巡回・スキャンを行っていますが、年間を通じて数十〜数百個の「裏で不審な広告をクリックさせる」「ユーザーの閲覧履歴を無断で外部に送信する」といった不正な拡張機能が発見され、数百万人のユーザー規模で強制削除されるインシデントが定期的に発生しています。
エンドポイント(PC)の調査において、OSのプロセス一覧(タスクマネージャーなど)を見ても、すべて正規の chrome.exe や msedge.exe として表示されるため、この攻撃は見落とされがちです。ブラウザが「大量のメモリを消費している」「特定の端末だけ不審なドメインへのHTTPS通信が断続的に発生している」といった兆候がある場合、ブラウザのタスクマネージャー(Shift + Esc)を開くか、拡張機能の設定画面(chrome://extensions)を直接開き、見覚えのない拡張機能や、デベロッパーモードで読み込まれている野良アプリがないかを確認することが重要です。