ファイル共有サービス「MEGA.nz」の「Chrome」ブラウザ向け拡張機能が改ざん

　ファイル共有サービスを提供する「MEGA.nz」の「Google Chrome」ブラウザ向け公式拡張機能が改ざんされ、ユーザー名やパスワードだけではなく、仮想通貨アカウントの秘密鍵をも窃取する悪意のあるコードが付加されていたことが明らかになった。

　この悪質な動作は、協定世界時9月4日にアップデートとしてリリースされた、MEGA.nzのChrome向け拡張機能バージョン3.39.4のソースコード内で発見された。

　Googleのエンジニアらは既にこの問題に対応し、公式のマーケットプレイスである「Chromeウェブストア」から同拡張機能を削除するとともに、既存ユーザーによる同拡張機能の利用を抑止している。

　同拡張機能のソースコードを分析した結果、悪意のあるコードはAmazonやGoogle、Microsoft、GitHubのほか、ウェブウォレットサービスのMyEtherWalletやMyMonero、さらには仮想通貨取引プラットフォームのIDEXといったサイトへのアクセス時に機能するようになっていることが分かったという。

　悪意のあるコードはユーザー名やパスワードのほか、攻撃者がユーザーになりすましてログインするために必要なセッションデータも記録するようになっている。また、仮想通貨を管理しているウェブサイトでは、ユーザーの資金にアクセスするために必要となる秘密鍵も盗み取るようになっている。

　同拡張機能は、ウクライナでホストされているmegaopac[.]host上のあるサーバに向け、収集したデータすべてを送信するようになっているという。

　同拡張機能のユーザーは、Chromeブラウザの拡張機能セクションを確認し、無効化されていることを念のためチェックしてほしい。

　さらに念には念を入れ、影響を受けるサービスを利用するすべてのユーザーはパスワードをリセットし、暗号通貨の資産を新たな暗号鍵で守られた新規アカウントに移動するべきだろう。

　悪意を持ったコードを含む、MEGA.nzのChrome拡張機能のバージョン3.39.4のコピーは、このDropboxアカウントから閲覧できる。なお、MEGA.nzの「Firefox」向けアドオンを精査したセキュリティリサーチャーらによると、同アドオンには悪意のあるコードは含まれていなかったという。

アップデート（米国東部標準時9月5日午前4時）：

　MEGA.nzの広報担当者は米ZDNetに対し、上記の報道内容が事実であることを確認したうえで、以下の詳細を語ってくれた。

　悪意のあるバージョン3.39.4は、2018年9月4日の協定世界時14時30分にChromeウェブストア上にアップロードされた。MEGA.nzは、その4時間後に新しいクリーンなバージョンの拡張機能をChromeウェブストアに投稿した。Googleの担当者はこの拡張機能を1時間後、すなわち最初のセキュリティ侵害が発生した5時間後に削除した。

　MEGA.nzの広報担当者は「この重大インシデントに関して謝罪したい」と述べるとともに、「Chromeウェブストアにおけるわれわれのアカウントがどのように侵害されたのかについて現在調査しているところだ」と続けた。

　 またMEGA.nzはブログ投稿で、このたびの改ざんを助長したとしてChromeウェブストアが講じるセキュリティに対して不満を表している。