C
月内に
Chromeウェブストアで、ユーザーアカウントやデータを盗む100以上の悪意ある拡張機能
📌 一言でいうと
Chromeウェブストアで、ユーザーアカウントやデータを盗む100以上の悪意ある拡張機能が発見されました。これらの拡張機能はGoogle OAuth2ベアラートークンの窃取、バックドアの設置、広告詐欺などを目的としており、共通のC2インフラを使用しています。コード内のコメントから、ロシア系のマルウェア・アズ・ア・サービス(MaaS)による組織的なキャンペーンである可能性が指摘されています。
🏢影響範囲
Chrome Web Storeを利用する全世界の一般ユーザーおよび組織
✅該当時の対応
不審なブラウザ拡張機能を直ちに削除し、Googleアカウントのパスワード変更およびセッションのリセットを行うことを推奨します。また、信頼できないサードパーティ製拡張機能のインストールを制限してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザ拡張機能の利用に関するご注意
お疲れさまです。情報システム担当です。
Google Chromeの公式ストアにて、ユーザーのアカウント情報やデータを盗み出す悪意ある拡張機能が多数発見されました。
ご協力をお願いしたいこと:
1. 心当たりのない拡張機能や、信頼できない開発元の拡張機能をインストールしていないか確認し、不審なものは直ちに削除してください。
2. 念のため、Googleアカウントのパスワード変更およびセッションのリセット(全デバイスからログアウト)を検討してください。
セキュリティリスクが高いため、お早めにご確認をお願いいたします。
お疲れさまです。情報システム担当です。
Google Chromeの公式ストアにて、ユーザーのアカウント情報やデータを盗み出す悪意ある拡張機能が多数発見されました。
ご協力をお願いしたいこと:
1. 心当たりのない拡張機能や、信頼できない開発元の拡張機能をインストールしていないか確認し、不審なものは直ちに削除してください。
2. 念のため、Googleアカウントのパスワード変更およびセッションのリセット(全デバイスからログアウト)を検討してください。
セキュリティリスクが高いため、お早めにご確認をお願いいたします。
Subject: [Security Notice] Caution Regarding Browser Extensions
Hi everyone,
Our IT security team would like to alert you that a large number of malicious extensions have been discovered in the official Chrome Web Store designed to steal user accounts and data.
Requested Actions:
1. Review your installed extensions and immediately remove any that are unfamiliar or from untrusted developers.
2. As a precaution, consider changing your Google account password and resetting your active sessions (logging out of all devices).
Please prioritize this check to ensure your account security.
Hi everyone,
Our IT security team would like to alert you that a large number of malicious extensions have been discovered in the official Chrome Web Store designed to steal user accounts and data.
Requested Actions:
1. Review your installed extensions and immediately remove any that are unfamiliar or from untrusted developers.
2. As a precaution, consider changing your Google account password and resetting your active sessions (logging out of all devices).
Please prioritize this check to ensure your account security.
件名: 【共有】Chrome Web Storeにおける大規模な悪意ある拡張機能キャンペーンについて
お疲れさまです。標記の件に関する情報共有です。
■ 概要
Chrome Web Storeにて、Google OAuth2ベアラートークンの窃取、バックドア設置、広告詐欺を目的とした100以上の悪意ある拡張機能が確認されました。ロシア系のMaaS(Malware-as-a-Service)による組織的なキャンペーンである可能性が高く、共通のC2インフラ(Contabo VPS)を利用してセッションハイジャックやアイデンティティ収集を行っています。
■ 影響範囲
- Google Chromeブラウザを利用し、サードパーティ製拡張機能を導入している全ユーザー
■ 対応手順
1. 組織内で許可されていない、または不審な拡張機能の利用を制限するポリシー(Allowlist/Blocklist)の再確認と適用。
2. EDRやログ分析にて、不審なC2通信やOAuthトークンの不正利用の兆候がないか確認。
3. 影響が疑われるユーザーに対し、パスワード変更およびセッションリセットを強制的に実施。
■ 参考情報
- Socket Security Research / BleepingComputer
対応優先度: 高(速やかな確認と対策を推奨)
お疲れさまです。標記の件に関する情報共有です。
■ 概要
Chrome Web Storeにて、Google OAuth2ベアラートークンの窃取、バックドア設置、広告詐欺を目的とした100以上の悪意ある拡張機能が確認されました。ロシア系のMaaS(Malware-as-a-Service)による組織的なキャンペーンである可能性が高く、共通のC2インフラ(Contabo VPS)を利用してセッションハイジャックやアイデンティティ収集を行っています。
■ 影響範囲
- Google Chromeブラウザを利用し、サードパーティ製拡張機能を導入している全ユーザー
■ 対応手順
1. 組織内で許可されていない、または不審な拡張機能の利用を制限するポリシー(Allowlist/Blocklist)の再確認と適用。
2. EDRやログ分析にて、不審なC2通信やOAuthトークンの不正利用の兆候がないか確認。
3. 影響が疑われるユーザーに対し、パスワード変更およびセッションリセットを強制的に実施。
■ 参考情報
- Socket Security Research / BleepingComputer
対応優先度: 高(速やかな確認と対策を推奨)
Subject: [Security Advisory] Large-scale Malicious Extension Campaign in Chrome Web Store
Hi,
This is a security update regarding a coordinated campaign targeting Chrome Web Store users.
■ Overview
Over 100 malicious extensions have been identified attempting to steal Google OAuth2 Bearer tokens, deploy backdoors, and conduct ad fraud. Evidence suggests a Russian Malware-as-a-Service (MaaS) operation utilizing a centralized C2 infrastructure hosted on Contabo VPS for session hijacking and identity collection.
■ Scope
- All users utilizing Google Chrome with third-party extensions installed.
■ Recommended Actions
1. Review and enforce browser extension policies (Allowlist/Blocklist) to restrict unauthorized extensions.
2. Monitor EDR and network logs for suspicious C2 traffic or anomalies related to OAuth token usage.
3. Force password resets and session terminations for users suspected of being compromised.
■ Reference
- Socket Security Research / BleepingComputer
Priority: High (Prompt action is recommended)
Hi,
This is a security update regarding a coordinated campaign targeting Chrome Web Store users.
■ Overview
Over 100 malicious extensions have been identified attempting to steal Google OAuth2 Bearer tokens, deploy backdoors, and conduct ad fraud. Evidence suggests a Russian Malware-as-a-Service (MaaS) operation utilizing a centralized C2 infrastructure hosted on Contabo VPS for session hijacking and identity collection.
■ Scope
- All users utilizing Google Chrome with third-party extensions installed.
■ Recommended Actions
1. Review and enforce browser extension policies (Allowlist/Blocklist) to restrict unauthorized extensions.
2. Monitor EDR and network logs for suspicious C2 traffic or anomalies related to OAuth token usage.
3. Force password resets and session terminations for users suspected of being compromised.
■ Reference
- Socket Security Research / BleepingComputer
Priority: High (Prompt action is recommended)