Techstrong Groupは1月30日(米国時間)、セキュリティブログ「Security Boulevard」に掲載した記事「SquareX Discloses “Browser Syncjacking” , a New Attack Technique that Provides Full Browser and Device Control, Putting Millions at Risk - Security Boulevard」において、Google Chromeユーザーを標的とする新しいシンクジャッキング攻撃が発見されたと報じた。

この攻撃を成功させるには、ちょっとしたソーシャルエンジニアリングを必要とするが、それ以後はユーザーに気づかれることなくWebブラウザおよびシステムを乗っ取ることが可能だという。

  • SquareX Discloses “Browser Syncjacking” 、a New Attack Technique that Provides Full Browser and Device Control、Putting Millions at Risk - Security Boulevard

    SquareX Discloses “Browser Syncjacking” , a New Attack Technique that Provides Full Browser and Device Control, Putting Millions at Risk - Security Boulevard

新しいシンクジャッキング攻撃の概要

新しいシンクジャッキング攻撃はSquareXの研究者たちにより発見された。攻撃はWebブラウザ拡張機能のインストール、プロファイルの乗っ取り、Webブラウザの乗っ取り、システムの乗っ取りと段階を踏んで進行する。攻撃手順の概要は次のとおり。

  1. ソーシャルエンジニアリング攻撃などにより、被害者に悪意のあるWebブラウザ拡張機能をインストールさせる
  2. 拡張機能はバックグラウンドで攻撃者のGoogle Workspaceに接続し、被害者のChromeプロファイルを承認する
  3. 拡張機能はGoogle公式ページを悪用して被害者にプロファイルの同期を促す。被害者がプロファイルを同期すると、自動的に被害者の認証情報と閲覧履歴が窃取される
  4. 拡張機能は何かしらの実行可能ファイル(インストーラーなど)がダウンロードされるのを待ち、ダウンロードを検出すると悪意のある実行可能ファイルに差し替える
  5. 被害者がファイルを実行すると、Webブラウザが攻撃者の管理対象ブラウザに指定される。管理対象ブラウザは、非管理対象ブラウザと見た目の違いがなく、被害者は気が付かないとされる
  6. 悪意のある実行可能ファイルはレジストリを変更し、拡張機能からローカルアプリにアクセスできるようにする
  7. 攻撃者は管理下にあるWebブラウザの拡張機能を介し、ローカルアプリ(PowerShellなど)にアクセスしてシステムを乗っ取る

攻撃者が被害者と接触する機会は最初のソーシャルエンジニアリング攻撃のみとされ、それ以外はほぼ自動化される。また、悪意のある拡張機能のインストール、プロファイルの同期、ファイルの実行以外はバックグラウンドで処理され、ユーザーが攻撃に気づくことは難しいという。

SquareXの創設者は次のように述べている。

この調査によりエンタープライズセキュリティの重大な盲点が明らかになりました。従来のセキュリティツールでは、このような高度なブラウザベースの攻撃を検出および阻止することはできません。

対策

今回発見されたシンクジャッキング攻撃は、企業の管理対象のブラウザに対し、拡張機能のインストールを完全にブロックすることで防御可能とされる。特に「完全なブロック」が必須要件とされており、ブラックリストと権限ベースのポリシーでは防御できないという。

最後にSquareXの研究者は、Webブラウザーレベルで可視化と制御を実施しなければ、企業は攻撃を阻止できない可能性があると述べ、Webブラウザ検出応答(BDR: Browser Detection and Response)の導入を推奨している。