悪意ある拡張機能がパスワードマネージャーなどのふりをして機密情報を盗む「ポリモーフィック攻撃」

サイバーセキュリティ企業のSquareXが、パスワードマネージャーや仮想通貨ウォレット、バンキングアプリのふりをした悪意ある拡張機能で機密情報を盗み出す「ポリモーフィック攻撃」を開発し、最新のGoogle Chromeを含むブラウザでそのような攻撃が可能な事を警告しました。

Polymorphic Extensions: The Sneaky Extension That Can Impersonate Any Browser Extension | by SquareX | Mar, 2025 | SquareX Labs
https://labs.sqrx.com/polymorphic-extensions-dd2310006e04

Malicious Chrome extensions can spoof password managers in new attack
https://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-can-spoof-password-managers-in-new-attack/

「ポリモーフィック攻撃」がどのようなものか、SquareXは実証動画を公開しています。

Polymorphic Extensions: The Sneaky Extension That Can Impersonate Any Browser Extension - YouTube

実験開始時のChrome。ツールバーに固定されている拡張機能は「1Password」、「Google Translate」、「uBlock」の3つ。

新たに、あるAIマーケティングツール拡張機能を追加します。

当該拡張機能の権限は「ブラウザ履歴の読み取り」と「アプリ・拡張機能・テーマの管理」です。

この拡張機能もツールバーに追加します。

ログインが必要なサイトにやってきました。

すると、「1Password」がログアウト状態になったというポップアップメッセージが登場。

このときツールバーがどうなっていたかを細かくチェックすると、アクセスした時点ではこのように正常です。

しかし、左端の「1Password」がすっと消滅します。

そしてAIマーケティングツールのアイコンが1Passwordのものに変身して、ポップアップが出現していました。このポップアップは1Passwordが出したものではなく偽物です。

続いて、1Passwordへのログインを求めるフォームが出現しました。当然、これも偽物の入力画面です。

必要情報を入れてサインイン。

すると、ログイン情報がサジェストされました。まるで、一時的にログアウト状態だった1Passwordに再ログインしたおかげのように見えますが、実際には悪意ある拡張機能が正当な拡張機能を一時的に無効化していただけ。偽の入力フォームに入れた情報はまんまと盗まれてしまうというわけです。

SquareXが攻撃を「ポリモーフィック(多形拡張)」と表現しているように、この実証動画はあくまでパターンの1つ。悪意ある拡張機能は、拡張機能管理に用いられる「chrome.management API」を悪用したり、標的となる拡張機能に固有のリソースを検出する「Webリソースヒッティング」と呼ばれる手法を利用したりして、なりすますべき拡張機能を見つけ出します。このため、ターゲットは「1Password」に限りません。

また、対象となるブラウザもChromeだけではなくMicrosoft Edgeなども含めたChromiumベースのブラウザ全般と、かなり影響は広範に及びます。

SquareXでは、攻撃について「責任ある開示」としてChromeチームに連絡を行っているものの、パッチでは対策が難しく、各拡張機能のランタイム動作を理解するブラウザネイティブソリューションでのみ対応が可能だとのことです。