Safery: イーサリアムウォレット Chrome 拡張機能

サイバーセキュリティ研究者らは、正規のイーサリアムウォレットを装った危険なChrome拡張機能を特定しました。「Safery: Ethereum Wallet」と名付けられたこの拡張機能は、「柔軟な設定でイーサリアム仮想通貨を管理できる安全なウォレット」を提供すると主張しています。この拡張機能は2025年9月29日にChromeウェブストアに初めてアップロードされ、11月12日に最新のアップデートが行われました。シンプルで安全なイーサリアム（ETH）ウォレットのように見えますが、ユーザーのシードフレーズを盗むために設計された高度なマルウェアが潜んでいます。

マルウェアの動作方法

この悪意のある拡張機能には、ウォレットのニーモニックフレーズを偽のSuiアドレスにエンコードして抽出するバックドアが含まれています。その後、脅威アクターが管理するSuiウォレットからマイクロトランザクションをブロードキャストすることで、攻撃者は従来のコマンドアンドコントロール（C2）サーバーを介さずに機密情報を抽出できます。

ワークフローは次のとおりです。

• この拡張機能は、ユーザーのシードフレーズを Sui アドレスとしてエンコードします。
• 攻撃者のウォレットからこれらの偽のアドレスに小さなマイクロトランザクション (0.000001 SUI) を送信します。
• 攻撃者はブロックチェーンを監視し、受信者のアドレスをデコードして元のシードフレーズを再構築します。
• 再構築されると、攻撃者は被害者のウォレットから資産を流出させることができます。

この方法により、攻撃者は従来の検出メカニズムを回避し、一見通常のブロックチェーン取引を通じて機密データを密輸することができます。

脅威検出の課題

この攻撃手法は、脅威アクターがチェーンやRPCエンドポイントを容易に切り替えられるため、特にステルス性が高いです。そのため、ドメイン、URL、または特定の拡張IDのみに頼った防御策では失敗する可能性があります。特に製品が単一チェーンで動作することを主張している場合、ブラウザからの予期しないブロックチェーンRPC呼び出しは、高リスクのシグナルとして扱う必要があります。

推奨される緩和戦略

この脅威から身を守るために、サイバーセキュリティの専門家は以下の予防策を推奨しています。

ユーザーの皆様へ：信頼できる検証済みのソースからのみウォレット拡張機能をインストールしてください。新しく公開された拡張機能やレビューが少ない拡張機能は避けてください。

防御側向け：ブラウザ拡張機能をスキャンし、ニーモニックエンコーダ、合成アドレスジェネレータ、ハードコードされたシードフレーズなどの悪意のある動作がないか確認します。ウォレットの作成またはインポート時にオンチェーンでトランザクションを書き込もうとする拡張機能はすべてブロックします。

これらの予防措置を適用することで、エンドユーザーとセキュリティ チームの両方が、シード フレーズ盗難や不正な資金引き出しのリスクを大幅に軽減できます。