Googleプラグインのセキュリティ事件：SwitchyOmegaが秘密鍵を盗取したとされる、プラグインのセキュリティ防止策の検討

最近、一部のユーザーから有名なプロキシ切替プラグインSwitchyOmegaに秘密鍵盗取のリスクがあるとの報告がありました。調査の結果、このセキュリティの脆弱性は昨年から存在していたことが判明しましたが、一部のユーザーは関連する警告に気付かず、影響を受けたプラグインのバージョンを使用し続け、アカウントがハイジャックされるなどの深刻な脅威に直面しています。本稿では、今回のプラグインの改ざん状況を深く分析し、プラグインの改ざんを防止する方法や悪意のあるプラグインへの対処法を探ります。

イベントの振り返り

この事件は、2024年12月24日の攻撃調査に最初に起因しています。ある会社の社員がフィッシングメールを受信し、その結果、彼が公開したブラウザプラグインに悪意のあるコードが注入され、ユーザーのブラウザCookieやパスワードを盗もうとしました。独立した調査によると、Googleのプラグインストアには、Proxy SwitchOmega (V3)を含む、同様の攻撃を受けた30以上のプラグインが存在しています。

攻撃者はフィッシングメールを通じてある会社のChromeウェブストアアカウントの管理権を取得し、その後悪意のあるコードを含む新しいバージョンの拡張機能をアップロードしました。Chromeの自動更新機能を利用して、影響を受けたユーザーは知らないうちに悪意のあるバージョンに更新されてしまいました。

調査報告によると、これらの攻撃を受けたプラグインはGoogleストアでの累計ダウンロード数が50万件を超え、260万台のユーザーデバイスから敏感データが盗まれ、ユーザーにとって大きな安全リスクをもたらしています。これらの改ざんされた拡張機能はアプリストアに最長18ヶ月間上架されており、その間、被害を受けたユーザーは自分のデータが漏洩していることにほとんど気づくことができませんでした。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-4c9dff28f3c951e9858c8b7d6f7bd73b.webp)

Chromeストアの更新方針により、V2バージョンのプラグインが次第にサポートされなくなっているため、SwitchyOmegaの公式オリジナルプラグインもサポート外となっています。汚染された悪意のあるバージョンはV3バージョンであり、その開発者アカウントはオリジナルのV2バージョンのアカウントとは異なります。したがって、このバージョンが公式によってリリースされたかどうかを確認することはできず、公式アカウントがハッキングされた後に悪意のあるバージョンがアップロードされたのか、あるいはV3バージョンの作者自体に悪意があったのかを判断することもできません。

セキュリティ専門家は、ユーザーにインストールされているプラグインのIDを確認し、公式バージョンであるかどうかを確認することを推奨しています。影響を受けたプラグインがインストールされていることが分かった場合は、直ちに最新の安全バージョンに更新するか、直接削除して安全リスクを低減する必要があります。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-4251b55bde2d20e012d55c2fe8b76306.webp)

プラグインが改ざんされるのを防ぐには？

ブラウザ拡張機能は常にネットワークセキュリティの弱点です。ユーザーは、インストール、使用、管理の3つの側面から安全対策を講じる必要があります。

1. 公式チャンネルからのみプラグインをダウンロードしてください

   • Chromeの公式ストアを優先して使用し、オンラインの第三者ダウンロードリンクを軽信しないでください。
   • 検証されていない「クラック版」プラグインの使用を避けてください。多くの改造版プラグインにはバックドアが埋め込まれている可能性があります。

2. プラグインの権限要求に注意する

   • 権限を慎重に付与してください。一部のプラグインは、ブラウジング履歴やクリップボードなど、不要な権限を要求する可能性があります。
   • プラグインが機密情報の読み取りを要求する場合は、必ず警戒を高めてください。

3. 定期的にインストールされたプラグインをチェックする

   • Chromeのアドレスバーにchrome://extensions/と入力して、インストールされているすべての拡張機能を確認します。
   • プラグインの最近の更新日時に注意してください。プラグインが長期間更新されておらず、突然新しいバージョンが公開された場合、改ざんされている可能性に警戒する必要があります。
   • プラグインの開発者情報を定期的に確認し、プラグインの開発者が変更されたり権限が変わった場合は警戒を強める必要があります。

4. 資金流向監視ツールを使用する

   • 秘密鍵が漏洩した疑いがある場合は、専門のツールを使用してオンチェーン取引を監視し、資金の流れを迅速に把握することができます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-0d985041e03763c9f71cc47441f5bc40.webp)

プロジェクト側にとって、プラグインの開発者およびメンテナとして、悪意のある改ざん、サプライチェーン攻撃、OAuthの濫用などのリスクを防ぐために、より厳格なセキュリティ対策を講じるべきである。

1. OAuthアクセス制御

   • 権限の範囲を制限し、OAuthログを監視します。プラグインがOAuthを使用して認証する必要がある場合は、できるだけ短期トークン+リフレッシュトークンメカニズムを使用し、高権限トークンの長期保管を避けてください。

2. Chrome Web Storeアカウントのセキュリティを強化する

   • Chrome Web Storeはプラグインの唯一の公式リリースチャネルであり、開発者アカウントが侵害されると、攻撃者はプラグインを改ざんし、すべてのユーザーのデバイスにプッシュすることができます。したがって、アカウントのセキュリティを強化する必要があります。たとえば、2FAを有効にし、最小権限管理を使用することです。

3. 定期監査

   • プラグインコードの完全性はプロジェクト側の改ざん防止の核心であり、定期的なセキュリティ監査を行うことをお勧めします。

4. プラグインの監視

   • プロジェクトチームは、新しいバージョンの安全性を確保するだけでなく、プラグインがハイジャックされていないかをリアルタイムで監視する必要があります。問題が発見された場合は、まず悪意のあるバージョンを撤回し、安全に関する公告を発表し、ユーザーに感染したバージョンのアンインストールを通知します。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-acc87783cc5511257d952fc64e76c405.webp)

悪意のコードが埋め込まれたプラグインの対処方法は？

もしプラグインが悪意のあるコードに感染している場合や、プラグインにリスクがあると疑われる場合は、ユーザーに以下の対策を講じることをお勧めします：

1. プラグインを即座に削除

   • Chrome拡張機能管理ページに入り、影響を受けたプラグインを見つけて削除します。
   • プラグインデータを完全に削除して、残留する悪意のあるコードが実行されないようにします。

2. 漏洩する可能性のある機密情報を変更する

   • ブラウザに保存されているすべてのパスワードを変更してください。特に暗号通貨取引所や銀行口座に関連するパスワードを。
   • 新しいウォレットを作成し、資産を安全に転送します（プラグインが暗号ウォレットにアクセスした場合）。
   • APIキーが漏洩していないか確認し、古いAPIキーを直ちに無効にし、新しい秘密鍵を申請してください。

3. システムをスキャンし、バックドアやマルウェアがないか確認する

   • ウイルス対策ソフトウェアまたはマルウェア対策ツールを実行します。
   • Hostsファイルを確認し、悪意のあるサーバーアドレスに変更されていないことを確認してください。
   • ブラウザのデフォルト検索エンジンとホームページを確認してください。一部の悪意のあるプラグインがこれらの設定を変更することがあります。

4. アカウントに異常な活動がないか監視する

   • 取引所や銀行口座のログイン履歴を確認し、異常なIPからのログインがあった場合は、すぐにパスワードを変更し、2FAを有効にしてください。
   • 暗号通貨ウォレットの取引履歴を確認し、異常な送金がないか確認してください。
   • ソーシャルメディアアカウントがハッキングされていないか確認し、異常なダイレクトメッセージや投稿があれば、すぐにパスワードを変更する必要があります。

5. 公式にフィードバックを提供し、さらなるユーザーが被害を受けるのを防ぐ

   • プラグインが改ざんされていることが判明した場合は、元の開発チームに連絡するか、Chromeの公式に報告してください。
   • セキュリティチームに連絡し、リスク警告を発表して、より多くのユーザーに安全に注意するよう警告できます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-7765950926df374a50ead853f995c6f3.webp)

ブラウザのプラグインはユーザーエクスペリエンスを向上させることができますが、それらは同時にハッカー攻撃の突破口となり、データ漏洩や資産損失のリスクをもたらす可能性があります。したがって、ユーザーは便利さを享受する一方で、注意を払い、プラグインのインストールと管理に慎重になり、権限を定期的にチェックし、疑わしいプラグインをタイムリーに更新または削除するなど、良好なセキュリティ習慣を身につける必要があります。同時に、開発者やプラットフォーム側もセキュリティ対策を強化し、プラグインの安全性とコンプライアンスを確保すべきです。ユーザー、開発者、プラットフォームが共同で努力し、セキュリティ意識を高め、効果的な防護措置を実施することで、リスクを実際に低減し、データと資産の安全を保障することができます。

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-79cda6aad1b8373145d89f5169d1faf1.webp)

! 【Googleプラグイン再出現リスク事象:SwitchyOmegaが秘密鍵を盗むことが露呈、プラグインが改ざんされるのをどうやって防ぐのか?】 ](https://img-cdn.gateio.im/webp-social/moments-e2c87b4f5e2c9d0555347c7ecc585868.webp)