DarkSpectreによるブラウザー拡張を利用した情報侵害と企業スパイ活動の脅威拡大

DarkSpectreの脅威とZoom Stealerキャンペーン

中国と関係があるとされる脅威グループ「DarkSpectre」が、Chrome、Edge、Firefoxのユーザー約880万人を標的に、7年以上にわたって複数の悪意あるキャンペーンを展開していたことが確認された。
このうち「Zoom Stealer」キャンペーンでは、約220万人のユーザーを対象に、オンライン会議関連の情報を収集するブラウザ拡張機能を悪用し、企業の会議情報を窃取していたとされる。
同キャンペーンでは計18種類の拡張機能が使用され、会議のURLやID、タイトル、説明文、埋め込まれたパスワードなどの情報が収集されていた。

DarkSpectreの多様なキャンペーン戦略

DarkSpectreはこのほかにも、「ShadyPanda」と「GhostPoster」と呼ばれる2つのキャンペーンを運営している。
いずれもChrome、Edge、Firefoxのユーザーを標的としており、ShadyPandaは生産性向上ツールや新しいタブページを装ってユーザーの信頼を得た後、悪意ある活動を開始する手口を取っていた。
一方、GhostPosterはステガノグラフィーの手法を用いて悪意のあるJavaScriptを画像などに隠蔽していたとされる。
これらのキャンペーンはいずれも中国拠点の Alibaba Cloud 上でホスティングされており、コード内に含まれる中国語のコメントや変数名などから、中国との関連が指摘されている。

企業スパイ活動と潜在的なリスク

Zoom Stealerキャンペーンでは、28のビデオ会議プラットフォームへのアクセス権が要求され、会議URLや参加者情報、スピーカープロフィール、企業ロゴなど、多様なデータがリアルタイムで収集されていたとされる。
収集された情報を基に、DarkSpectreは大規模ななりすましや企業スパイ活動に利用可能なデータベースを構築していた可能性があり、会議リンクの第三者への販売や、ソーシャルエンジニアリング攻撃への悪用が懸念されている。

ブラウザー拡張機能を巡るセキュリティ上の課題

DarkSpectreの活動は、ブラウザー拡張機能のマーケットプレイスにおけるセキュリティ上の課題を浮き彫りにした。
拡張機能は初回の審査を通過した後も、アップデートを通じて悪意のあるコードに置き換えられる可能性があり、こうした仕組みがセキュリティチェックの回避に悪用されるケースがある。
今回の脅威は、約7年という長期間にわたり検知されなかった点からも、国家レベルの資源を背景とした組織的な運用の可能性を示唆している。

継続的な警戒の重要性

組織や個人ユーザーに対しては、ブラウザー拡張機能のインストール時に要求される権限を慎重に確認し、不要な拡張機能の利用を最小限に抑えることが重要とされている。
また、DarkSpectreのような高度な脅威に備えるためには、継続的なセキュリティアップデートの実施に加え、ユーザーへの啓発や教育を含む対策が欠かせない。