編集部からのお知らせ
新着PDF集:データセンターの省電力化
「これからの企業IT」の記事はこちら

ファイル共有サービス「MEGA.nz」の「Chrome」ブラウザ向け拡張機能が改ざん

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2018-09-06 10:26

 ファイル共有サービスを提供する「MEGA.nz」の「Google Chrome」ブラウザ向け公式拡張機能が改ざんされ、ユーザー名やパスワードだけではなく、仮想通貨アカウントの秘密鍵をも窃取する悪意のあるコードが付加されていたことが明らかになった。

 この悪質な動作は、協定世界時9月4日にアップデートとしてリリースされた、MEGA.nzのChrome向け拡張機能バージョン3.39.4のソースコード内で発見された。

 Googleのエンジニアらは既にこの問題に対応し、公式のマーケットプレイスである「Chromeウェブストア」から同拡張機能を削除するとともに、既存ユーザーによる同拡張機能の利用を抑止している。

 同拡張機能のソースコードを分析した結果、悪意のあるコードはAmazonやGoogle、Microsoft、GitHubのほか、ウェブウォレットサービスのMyEtherWalletやMyMonero、さらには仮想通貨取引プラットフォームのIDEXといったサイトへのアクセス時に機能するようになっていることが分かったという。

 悪意のあるコードはユーザー名やパスワードのほか、攻撃者がユーザーになりすましてログインするために必要なセッションデータも記録するようになっている。また、仮想通貨を管理しているウェブサイトでは、ユーザーの資金にアクセスするために必要となる秘密鍵も盗み取るようになっている。

 同拡張機能は、ウクライナでホストされているmegaopac[.]host上のあるサーバに向け、収集したデータすべてを送信するようになっているという。

 同拡張機能のユーザーは、Chromeブラウザの拡張機能セクションを確認し、無効化されていることを念のためチェックしてほしい。

 さらに念には念を入れ、影響を受けるサービスを利用するすべてのユーザーはパスワードをリセットし、暗号通貨の資産を新たな暗号鍵で守られた新規アカウントに移動するべきだろう。

 悪意を持ったコードを含む、MEGA.nzのChrome拡張機能のバージョン3.39.4のコピーは、このDropboxアカウントから閲覧できる。なお、MEGA.nzの「Firefox」向けアドオンを精査したセキュリティリサーチャーらによると、同アドオンには悪意のあるコードは含まれていなかったという。

アップデート(米国東部標準時9月5日午前4時):

 MEGA.nzの広報担当者は米ZDNetに対し、上記の報道内容が事実であることを確認したうえで、以下の詳細を語ってくれた。

 悪意のあるバージョン3.39.4は、2018年9月4日の協定世界時14時30分にChromeウェブストア上にアップロードされた。MEGA.nzは、その4時間後に新しいクリーンなバージョンの拡張機能をChromeウェブストアに投稿した。Googleの担当者はこの拡張機能を1時間後、すなわち最初のセキュリティ侵害が発生した5時間後に削除した。

 MEGA.nzの広報担当者は「この重大インシデントに関して謝罪したい」と述べるとともに、「Chromeウェブストアにおけるわれわれのアカウントがどのように侵害されたのかについて現在調査しているところだ」と続けた。

  またMEGA.nzはブログ投稿で、このたびの改ざんを助長したとしてChromeウェブストアが講じるセキュリティに対して不満を表している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. セキュリティ

    Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス

  4. セキュリティ

    「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ

  5. クラウドコンピューティング

    データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]