ファイル共有サービス「MEGA.nz」の「Chrome」ブラウザ向け拡張機能が改ざん

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部 2018年09月06日 10時26分

  • このエントリーをはてなブックマークに追加
  • 印刷

 ファイル共有サービスを提供する「MEGA.nz」の「Google Chrome」ブラウザ向け公式拡張機能が改ざんされ、ユーザー名やパスワードだけではなく、仮想通貨アカウントの秘密鍵をも窃取する悪意のあるコードが付加されていたことが明らかになった。

 この悪質な動作は、協定世界時9月4日にアップデートとしてリリースされた、MEGA.nzのChrome向け拡張機能バージョン3.39.4のソースコード内で発見された。

 Googleのエンジニアらは既にこの問題に対応し、公式のマーケットプレイスである「Chromeウェブストア」から同拡張機能を削除するとともに、既存ユーザーによる同拡張機能の利用を抑止している。

 同拡張機能のソースコードを分析した結果、悪意のあるコードはAmazonやGoogle、Microsoft、GitHubのほか、ウェブウォレットサービスのMyEtherWalletやMyMonero、さらには仮想通貨取引プラットフォームのIDEXといったサイトへのアクセス時に機能するようになっていることが分かったという。

 悪意のあるコードはユーザー名やパスワードのほか、攻撃者がユーザーになりすましてログインするために必要なセッションデータも記録するようになっている。また、仮想通貨を管理しているウェブサイトでは、ユーザーの資金にアクセスするために必要となる秘密鍵も盗み取るようになっている。

 同拡張機能は、ウクライナでホストされているmegaopac[.]host上のあるサーバに向け、収集したデータすべてを送信するようになっているという。

 同拡張機能のユーザーは、Chromeブラウザの拡張機能セクションを確認し、無効化されていることを念のためチェックしてほしい。

 さらに念には念を入れ、影響を受けるサービスを利用するすべてのユーザーはパスワードをリセットし、暗号通貨の資産を新たな暗号鍵で守られた新規アカウントに移動するべきだろう。

 悪意を持ったコードを含む、MEGA.nzのChrome拡張機能のバージョン3.39.4のコピーは、このDropboxアカウントから閲覧できる。なお、MEGA.nzの「Firefox」向けアドオンを精査したセキュリティリサーチャーらによると、同アドオンには悪意のあるコードは含まれていなかったという。

アップデート(米国東部標準時9月5日午前4時):

 MEGA.nzの広報担当者は米ZDNetに対し、上記の報道内容が事実であることを確認したうえで、以下の詳細を語ってくれた。

 悪意のあるバージョン3.39.4は、2018年9月4日の協定世界時14時30分にChromeウェブストア上にアップロードされた。MEGA.nzは、その4時間後に新しいクリーンなバージョンの拡張機能をChromeウェブストアに投稿した。Googleの担当者はこの拡張機能を1時間後、すなわち最初のセキュリティ侵害が発生した5時間後に削除した。

 MEGA.nzの広報担当者は「この重大インシデントに関して謝罪したい」と述べるとともに、「Chromeウェブストアにおけるわれわれのアカウントがどのように侵害されたのかについて現在調査しているところだ」と続けた。

  またMEGA.nzはブログ投稿で、このたびの改ざんを助長したとしてChromeウェブストアが講じるセキュリティに対して不満を表している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]