The Hacker Newsは6月29日(現地時間)、「Microsoft Removes 119 Edge Extensions That Hid Malware in Images and Fonts」において、Microsoft Edgeの多数の拡張機能からマルウェアが発見されたと報じた。

これら拡張機能はすでに削除されているが、約5年間にわたり攻撃活動で悪用されていたという。

画像にマルウェアを隠す「StegoAd」の手口

このサイバー攻撃はMicrosoft Edge拡張機能セキュリティチームにより特定された。攻撃は単一の脅威アクターにより実行された可能性が高く、高度な技術および悪質な手段が使用された。

単一の脅威アクターによる攻撃の可能性については、共通インフラの存在、デバッグ文字や収益構造の一致、さらに特徴的な手法の符合などが理由とされる。手法の概要は次のとおり。

  • 攻撃チェーンは5段階で構成され、特定の条件が満たされるまで攻撃を遅延させて隠蔽する
  • 画像ファイルにコードを隠蔽するステガノグラフィー技術を悪用する
  • 拡張機能のリクエスト検証、ペイロードの多重難読化、電子署名による改ざん検出など、研究者やセキュリティソリューションによる分析を徹底して回避する

攻撃が最終段階に至ると、認証情報の窃取、バックドアの展開、アフィリエイトハイジャック(広告手数料の詐取)、広告の差し替え、テレメトリーの収集などが行われる。これら特徴から、Microsoftは「ステガノグラフィー」と「広告詐欺(アドウェア)」を組み合わせた「ステゴアド(StegoAd)」と名付けている。

  • ステゴアドに使用された攻撃チェーンの概要 引用:Microsoft

    ステゴアドに使用された攻撃チェーンの概要 引用:Microsoft

260万人に影響か、MicrosoftがIoC公開

ステゴアドで配布された悪意のある拡張機能は合計119件、最大で260万人に影響した可能性がある。約5年間にわたり世界中のEdgeユーザーを侵害したとみられる。

Microsoftは、悪意のある拡張機能をすべて削除し、関連する開発者アカウントを停止した。また、悪意のある拡張機能の一覧をセキュリティ侵害インジケーター(IoC: Indicator of Compromise)として公開。Microsoft Edgeの利用者に拡張機能をインストールしたことがあるか確認するように推奨している。

対象の拡張機能をインストールした可能性がある場合は、Edgeおよびシステムを侵害されたと評価して対策する必要がある。The Hacker Newsは侵害された場合の対策として、Google、WordPress、金融機関、その他の価値の高いアカウントのパスワード変更と、フィッシング耐性のある多要素認証(MFA: Multi-Factor Authentication)の有効化(特にパスキーの利用)を推奨している。

なお、この脅威アクターはアカウント削除後も活動中と評価されている。侵害されたシステムにはバックドアが展開されている可能性があるため、セキュリティソリューションによるマルウェアの駆除またはシステムのクリーンインストールが推奨される。