Guardioはこのほど、「“FakeGPT”: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs」において、手軽にChatGPTを利用できるとうたって機密情報を盗み出すGoogle Chromeの拡張機能が発見されたとして、注意を呼び掛けた。

この拡張機能を配布している攻撃者は、盗み出した情報を悪用して最終的にFacebookアカウントの乗っ取り、そのアカウントのクレジットで偽アプリの広告を配信しているという。

今回Guardioによって報告されたのは「Quickacess to Chat GPT」という名称のChrome拡張で、インストールするとWebブラウザから直接(ChatGPTのWebサイトを経由することなく)ChatGPTを利用できるようになる。

  • ChatGPTの利用を謳う悪意のあるChrome拡張(引用:Guardio)

    ChatGPTの利用を謳う悪意のあるChrome拡張 引用:Guardio

AIチャット機能そのものは正常に動作するようだが、その一方で、この拡張機能はバックグラウンドでCookieをはじめとするWebブラウザからアクセスできるすべての情報を盗み出すという。さらに、Metaが提供するGraph APIにもアクセスして、Facebookアカウントから得られる情報の収集も試みる。 Graph APIを利用すると、そのアカウントにおいて現在アクティブなプロモーションやクレジット残高などといった情報を得ることができる。

続いて拡張機能は、得られた情報やAPI呼び出しに使用されたセッションなどの情報をまとめて外部のC2(Command and Control)サーバに送信する。このとき盗み出される情報には、YouTubeやGoogleアカウント、Twitterなどのサービスへのセキュリティトークンやセッショントークンも含まれることが確認されたという。

さらに攻撃者は、情報を得られたアカウントの中からプロモーション効果の高いアカウントを選択して、Facebookアカウントの認証情報の取得を試みる。これにはChrome拡張機能に隠されたPotalモジュールと呼ばれる別のモジュールが利用される。PotalモジュールはChatGPTのポップアップを装ってFacebookアカウントに悪意のあるアプリを登録させ、アカウントへのフルアクセス権限を取得する。

最終的に、攻撃者が取得できるFacebookアカウントの権限には、広告アカウントの管理者権限なども含まれる。これを悪用して、攻撃者は乗っ取ったアカウントの名義で新たに偽アプリの広告を配信して、ワームのようにアプリを増殖させていくとのこと。Guardioによれば、2023年3月3日にこの拡張機能を発見して以来、毎日2000人以上のユーザーがインストールしたことを確認しているという。

  • 拡張機能の広告、インストール、Facebookアカウントの乗っ取り、そして伝搬までの流れ(引用:Guardio)

    拡張機能の広告、インストール、Facebookアカウントの乗っ取り、そして伝搬までの流れ 引用:Guardio

本稿執筆時点では、すでに該当する拡張機能はGoogleの手によってChromeストアから削除されているが、今後も同様の手法が使われる可能性は高く、引き続き警戒が必要だ。