偽のGoogleドキュメントオフライン拡張機能

偽のGoogleドキュメントオフライン拡張機能は、正規のツールを装った悪質なブラウザアドオンです。信頼できるGoogleサービスを装っていますが、実際にはGlassWormと呼ばれる大規模なサイバー攻撃キャンペーンの一部です。この拡張機能はユーザーが直接インストールするのではなく、既存のマルウェアが悪意のあるスクリプトを介してブラウザに密かに注入します。一度インストールされると、正規の拡張機能に紛れ込むため、検出が困難になります。

連鎖攻撃による静かな侵入

この脅威は、GitHubリポジトリ、npmパッケージ、ブラウザ拡張機能ストアなどの侵害されたプラットフォームを利用した高度な連鎖攻撃によって拡散します。GlassWorm の背後にいるサイバー犯罪者は、一見正当なソフトウェアプロジェクトやアップデートに有害なコードを埋め込み、それらを安全に見せかけます。

ユーザーが感染したソフトウェアをインストールまたは更新すると、隠されたコードがバックグラウンドで起動し、偽の拡張機能をブラウザに挿入します。場合によっては、マルウェアは公式のプロセスに酷似した偽のアップデートメカニズムを通じて配信されるため、感染が成功する可能性がさらに高まります。

ブラウザの完全な監視とデータ収集

インストールされると、この偽の拡張機能はリモート管理トロイの木馬（RAT）として動作し、攻撃者にブラウザのアクティビティに対する広範な制御権を与えます。この拡張機能は、以下のような幅広い機密情報を収集することができます。

• ログイン認証情報やフォーム入力を含むキー操作
• ウェブサイトからのクッキーとアクティブセッションデータ
• アクティブなブラウザタブの完全なコード
• 開いているページのスクリーンショット
• クリップボードの内容と保存されたブックマーク
• 閲覧履歴（最大5000件）
• デバイスとブラウザの詳細（ハードウェアおよびGPU/WebGLデータを含む）
• インストールされているブラウザ拡張機能に関する情報

収集されたデータはすべてまとめてサイバー犯罪者に送信されますが、被害者には何の兆候も現れないことがよくあります。

個人および企業のセキュリティに重大な影響

この悪質な拡張機能によって付与されるアクセス権限は、広範囲にわたる機密データを危険にさらします。プライベートなメール、メッセージ、文書、その他の個人情報が漏洩する可能性があります。特に金融取引は脆弱で、オンラインバンキングのセッション、支払い情報、ブラウザ経由でアクセスされる仮想通貨アカウントなどが含まれます。

攻撃者はこのデータを悪用して、アカウントの乗っ取り、資金の窃盗、ユーザーのなりすまし、その他の悪質な行為を行う可能性があります。業務デバイスにインストールされた場合、その影響は企業全体のセキュリティ侵害に発展し、内部システムや機密性の高いビジネスデータが危険にさらされる可能性があります。

ブラウザ管理コントロールの悪用

この拡張機能は、スパイ機能に加えて、ブラウザの「組織によって管理されています」という設定を操作します。通常、この設定は、企業環境などにおいて、ブラウザが正式な管理者によって管理されていることを示します。

この機能を悪用することで、マルウェアはユーザーの操作を制限し、標準的な削除方法を阻止し、ブラウザ設定へのアクセスを制限することができます。この手法により、悪意のある拡張機能は長期間にわたって存在し続け、検出されずに済むようになります。

持続的かつ高リスクな脅威

偽のGoogleドキュメントオフライン拡張機能は、自身を偽装し、ユーザーの活動を監視し、機密性の高いデータを盗み出す能力を持つため、深刻なサイバーセキュリティリスクとなります。その巧妙なインストール方法と永続化メカニズムは、特に危険です。

検出された場合、継続的なデータ窃盗や長期的な情報漏洩を防ぐため、拡張機能および関連する悪意のあるコンポーネントは直ちに削除する必要があります。