ブラウザの拡張機能は、本来はブラウザの機能性を高めるために作られたものですが、サイバー犯罪に利用されるツールにもなっています。Google では、2014年5月、こうした不正なブラウザ拡張機能の問題に対処するため、「Chrome ウェブストア」にホストされた拡張機能のみにインストールを認める規定を施行しました。
この規定により、ユーザはより厚く保護されるようになりましたが、この規定を回避しようとするサイバー犯罪者の企みを完全に阻止することはできませんでした。トレンドマイクロでは、今年8月、Google Chrome 上に拡張機能をインストールする不正プログラムを確認しました。
■Twitter 上で拡散する「Facebook Secrets」
弊社は、Twitter 上で、「Facebook Secrets」という動画をダウンロードできるとうたうツイートを確認しました。ユーザがこのツイートに記載された短縮URL をクリックすると Webサイトに誘導され、EXE ファイルがユーザの PC上に自動的にダウンロードされます。
 |
「download-video.exe」というファイル名でダウンロードされるこのファイルは、実際は「TROJ_DLOADE.DND」として検出されるダウンローダです。このダウンローダにより、PC上にファイルが次々とダウンロードまたは作成されます。ユーザから疑いを持たれないために、これらのファイルは「flash.exe」といった正規のファイルに見えるファイル名を利用します。
■ブラウザ拡張機能をインストール
この不正プログラムは、ファイルのダウンロードおよび作成のほか、Flash Player の拡張機能を装ったブラウザの拡張機能を PC上にインストールします。
 |
Google のセキュリティポリシーを回避するために、この不正プログラムは、Google Chrome のディレクトリにフォルダを作成し、以下の 2つのブラウザ拡張機能のコンポーネントを作成します。
- manifest.json – ブラウザ拡張機能の詳細情報(名前、読み込まれるスクリプト、バージョンなど)を含む。
- crx-to-exe-convert.txt – 読み込まれるスクリプトを含む。特定の URL に接続するたびに更新される。
このブラウザ拡張機能を有効にするために、ブラウザは作成されたコンポーネント「manifest.json」の情報を構文解析します。
 |
 |
ユーザが Facebook もしくは Twitter にアクセスすると、この拡張機能は裏で特定の Webサイトにアクセスします。この Webサイトはトルコ語で記述されており、「辛辣な言葉」「重い歌詞」「意味のある歌詞」「愛のメッセージ」「愛の歌詞」といった意味の言葉が Webページ上に表示されます。これは、クリック詐欺や不正な Webサイトへ誘導といった不正活動の一部だと思われます。
 |
■トレンドマイクロの対策
ソーシャルメディアは、ソーシャルエンジニアリングの「餌」として広く利用されるようになりました。しかし、頻繁に利用されたからといって、その効果が薄れることはありません。例えば、今回のツイートは、弊社が確認した時点で、すでに 6,000回以上リツイートされていました。つまり、こうした手法は Twitter 上で広く利用されており、サイバー犯罪者は大きな網を投げて被害者となるユーザを狙っています。短縮URL はクリックしないようにして下さい。ソーシャルメディア上で表示されているものには特に気をつけて下さい。サイバー犯罪者は、ユーザにリンクをクリックさせるためにはどんなことでもします。
また、ブラウザの拡張機能は、公式のウェブストアや信頼のおけるソースからインストールして下さい。Google Chrome ではセキュリティ対策を講じていますが、その他のブラウザで同じように保証されているとは限りません。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
協力執筆者:Rhena Inocencio および Adrian Conferos
参考記事:
by Sylvia Lascano (Fraud Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)