Microsoftは6月29日(現地時間)、Edgeブラウザの拡張機能119件からマルウェアを発見し、すべて削除したと発表した。これらの拡張機能は約5年間にわたり攻撃活動に悪用され、最大260万人のユーザーに影響した可能性がある。Microsoftはこのキャンペーンを「StegoAd(ステゴアド)」と命名し、詳細な分析結果を公開した。
攻撃手法:画像にコードを隠すステガノグラフィー
Microsoft Edge拡張機能セキュリティチームが特定したこの攻撃は、単一の脅威アクターによるものとみられる。その根拠として、共通インフラの存在、デバッグ文字や収益構造の一致、特徴的な手法の符合が挙げられている。
攻撃チェーンは5段階で構成され、特定の条件が満たされるまで攻撃を遅延させて隠蔽する。画像ファイルにコードを隠蔽するステガノグラフィー技術を悪用し、研究者やセキュリティソリューションによる分析を徹底して回避する。拡張機能のリクエスト検証、ペイロードの多重難読化、電子署名による改ざん検出などの対策も施されていた。
最終段階での被害:認証情報窃取や広告詐欺
攻撃が最終段階に至ると、認証情報の窃取、バックドアの展開、アフィリエイトハイジャック(広告手数料の詐取)、広告の差し替え、テレメトリーの収集などが行われる。Microsoftはこれらの特徴から、「ステガノグラフィー」と「広告詐欺(アドウェア)」を組み合わせて「StegoAd」と名付けた。
影響と対策:IoC公開、アカウント変更を推奨
Microsoftは悪意のある拡張機能をすべて削除し、関連する開発者アカウントを停止した。また、セキュリティ侵害インジケーター(IoC)として悪意のある拡張機能の一覧を公開し、Edge利用者に拡張機能のインストール状況を確認するよう推奨している。
対象の拡張機能をインストールした可能性がある場合は、Edgeおよびシステムが侵害されたと評価して対策する必要がある。The Hacker Newsは、Google、WordPress、金融機関などの価値の高いアカウントのパスワード変更と、フィッシング耐性のある多要素認証(MFA、特にパスキー)の有効化を推奨している。なお、この脅威アクターはアカウント削除後も活動中と評価されており、バックドアが展開されている可能性があるため、セキュリティソリューションによるマルウェアの駆除またはシステムのクリーンインストールが推奨される。
