Socketの脅威リサーチチームは、企業向けHR/ERPプラットフォーム(Workday、NetSuite、SAP SuccessFactors)を標的にした悪性Chrome拡張機能5種を確認したと公表しました。これらは単体で完結する怪しい拡張機能ではなく、複数の拡張機能が連携して認証トークンを盗み、管理者のインシデント対応を妨害し、最終的にセッションハイジャック(ログイン状態の乗っ取り)まで到達できる設計になっている点が特徴です。合計のインストール数は2,300超とされています。
4つの拡張機能は「databycloud1104」名義で、残る1つは別ブランド(Software Access)を名乗る一方、コード構造や通信先の作りが似通っており、単一の作戦として動いている可能性が高いと評価されています。
目次
攻撃者が狙ったもの
今回の主戦場は、ID/パスワードそのものより「すでにログイン済みの状態」を示す認証クッキー(セッショントークン)です。報告では、対象ドメイン上の認証クッキーを周期的に抜き取り、外部へ送信する挙動が確認されています。これが成立すると、たとえ多要素認証(MFA)が有効でも、奪われたログイン済みセッションを使ってアクセスされるおそれがあり、アカウント乗っ取りに直結します。
5つの拡張機能が分担していた「3つの攻撃」
Socketの整理では、キャンペーンは大きく3タイプの攻撃で構成されます。
-
クッキー(認証トークン)の外部送信(cookie exfiltration)
-
管理・セキュリティ関連ページを開けなくする妨害(DOM操作によるブロック)
-
盗んだクッキーを攻撃者側ブラウザに注入してセッションを奪う(cookie injectionによる直接ハイジャック)
単に盗むだけでなく、「復旧・封じ込め」をやりにくくする機能まで一緒に配備しているのが嫌らしいところです。
手口の中身(防御の観点で押さえるべき挙動)
認証クッキーの継続的な窃取と送信
報告では、特定名称のセッションクッキーを狙って定期的(1分周期)に収集し、攻撃者管理下のAPIに送る挙動が示されています。ログアウト/ログインでトークンが更新されても、周期回収されるため、攻撃者が新しい有効セッションを継続入手できる設計です。
管理者が見るべきページを「真っ白」にする妨害
別系統の拡張機能は、Workdayの管理・セキュリティ関連画面(認証設定、セキュリティポリシー、IP制限、セッション制御、監査ログ等)を検知すると、画面内容を消して不正なURLへ飛ばすことで、管理操作そのものを失敗させます。報告では、ブロック対象が44ページ/56ページ規模まで拡大していたことも触れられています。
「侵害を止めるための操作(パスワード変更、アカウント無効化、2FAデバイス管理、監査ログ確認など)」ができない状態は、インシデント対応として致命的です。攻撃者は侵入よりも居座りを優先していたと読めます。
盗んだセッションを攻撃者に配達して即ログインさせる
5つのうち1つ(Software Access)は、盗んだクッキーを送るだけでなく、攻撃者側に盗難クッキーを返し、ブラウザへ注入してログイン状態を作る仕組み(双方向操作)まで実装していたとされています。これにより、攻撃者はID/パスワード入力なしで、被害者セッションをそのまま再現できます。
影響を受けうる範囲
インストール数は2,300超と大規模拡散型に比べると少なく見えますが、標的がHR/ERPである以上、1アカウントの価値が極端に高い点が問題です。人事情報、組織情報、権限管理、場合によっては給与・委託先・購買に近い情報まで、侵害後の横展開や恐喝(ランサムウェア/情報窃取)の起点になり得ます。
確認された拡張機能(名前・ID)
The Hacker Newsの報道では、拡張機能名とID、インストール数の内訳が整理されています(例:DataByCloud 2が約1,000、DataByCloud 1が約1,000など)。
-
DataByCloud Access(oldhjammhkghhahhhdcifmmlefibciph)
-
Tool Access 11(ijapakghdgckgblfgjobhcfglebbkebf)
-
DataByCloud 1(mbjjeombjeklkbndcjgmfcdhfbjngcam)
-
DataByCloud 2(makdmacamkifdldldlelollkkjnoiedg)
-
Software Access(bmodapcihjhklpogdpblefpepjolaoij)
また、公開時点の報道では、Chrome Web Storeから削除されたものがある一方、第三者の配布サイト等に残存する可能性も指摘されています。
企業側が今すぐ取るべき対策(現場で効く順)
1)拡張機能の棚卸しと強制削除
最優先は、社内端末(特に管理者端末)のChrome拡張機能を棚卸しし、該当名・該当IDの拡張機能があれば速やかに削除します。Chrome同期が有効だと他端末へ波及するため、削除は全端末が前提です。
2)「クリーン環境」での認証情報リセットとセッション無効化
感染疑い端末でパスワード変更をしても、変更直後のセッションがまた盗まれるおそれがあります。報告でも「クリーンなシステムからのリセット」が重要視されています。可能なら該当SaaS側の機能で全セッション失効や信頼済みデバイスの再登録までセットで実施してください。
3)拡張機能の許可リスト運用へ切り替える
恒久対策としては、Chrome Enterpriseのポリシーで拡張機能を許可リスト(allowlist)運用に寄せ、業務上不要な拡張機能を入れられない状態にするのが現実的です。今回のように「見た目がそれっぽい」拡張機能は、教育だけで完全に止めるのが難しいためです。
4)通信(DNS/Proxy)でC2候補を遮断し、痕跡を探す
Socketは攻撃インフラ(APIサブドメイン)を挙げています。社内プロキシ/DNSログで該当先への通信有無を確認し、該当があれば端末隔離と追加調査に繋げるのがよいです。
情報システム部門としての教訓
今回の要点は、「ブラウザ拡張機能が、SaaSの認証境界を外側から壊せる」という点です。Cookie窃取は昔からある手口ですが、管理画面ブロックやセッション注入まで組み合わせ、検知後の封じ込めを狙って潰しに来る構成は、企業環境に合わせて作り込まれています。
SaaS側の設定強化(条件付きアクセス、IP制限、デバイストラスト等)と同時に、端末側(拡張機能統制、EDR、DNS防御)のレイヤーをきちんと噛み合わせないと、今回のようなブラウザ内側からの乗っ取りは止め切れません。
出典
5 Malicious Chrome Extensions Enable Session Hijacking in Enterprise HR and ERP Systems
最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。

」、CISAが即時対応を通達-200x200.png)






