Google Chromeに脆弱性「仮想通貨ウォレットなどの機密情報」が盗まれる可能性

by BITTIMES   

Googleが提供するウェブブラウザ「Google Chrome」の脆弱性によって、仮想通貨ウォレットやクラウドプロバイダーの認証情報などといった機密ファイルが盗まれる可能性があることがサイバーセキュリティ企業「Imperva(インパーバ)」の報告で明らかになりました。

Chrome利用者には、ソフトウェアを最新版にアップデートすることが推奨されています。

25億人以上のChromeユーザーに影響する可能性

サイバーセキュリティ企業Imperva(インパーバ)は2023年1月11日に、Googleが提供する主流のウェブブラウザである「Google Chrome」で『CVE-2022-3656』と呼ばれる脆弱性が見つかったことを発表しました。

この脆弱性は「Google Chrome」や「Chromiumベースのブラウザ」を利用する25億人以上のユーザーに影響を与える可能性があるとのことで、この脆弱性の影響で仮想通貨ウォレットやクラウドプロバイダーの認証情報などの機密ファイルが盗まれる可能性があると報告されています。

今回の脆弱性は「ChromeやChromiumベースのブラウザがファイルシステムをどのように扱うか」についての調査を実施した際に発覚したとのことで、具体的には他のファイルやディレクトリを指し示すファイルの一種である「シンボリックリンク」に関連する項目で問題が見つかったとされています。

シンボリックリンクは適切に処理されないと脆弱性をもたらす可能性があるとのことで、今回のケースに関しては『シンボリックリンクがアクセス可能ではない場所を指しているかどうかをブラウザが適切にチェックしなかったため、機密ファイルが盗まれる可能性があった』と説明されています。

今回の脆弱性を悪用した攻撃シナリオ

今回見つかった脆弱性を悪用した攻撃のシナリオとしては以下のようなケースが挙げられています。

攻撃者は仮想通貨ウォレットサービスを提供する偽サイトを作成、偽サイトで「復元キーのダウンロード」を要求して新しいウォレットを作成させるが、この復元キーは実際には「ユーザーの機密ファイルへのシンボリックリンクを含むZIPファイル」となっている。ユーザーが復元キーを解凍してウェブサイトにアップロードすると、シンボリックリンクが処理され、攻撃者は機密ファイルにアクセスできるようになる。

偽のウェブサイトは合法的なサイトに見えるように設計されており、復元キーのダウンロード・アップロードプロセスも正常に見えるように設計されているため、ユーザーは問題が発生したことに気付かない可能性がある。

Chrome利用者は最新版へのアップデートを

Impervaは今回の発表の中で『ImpervaチームはChrome 107で今回の問題が解決されていないことが発覚したため、このことをGoogleに報告、これによってChrome 108では今回の問題が完全に解決された』と報告しており、最新の脆弱性から個人情報や機密情報を保護するために、Google Chromeのソフトウェアを常に最新の状態に保つことが重要だと説明しています。

自分が現在使用しているGoogle Chromeのバージョン情報は、Google Chromeのメニュー画面から「Google Chromeについて」のページに進むことによって確認することができるため、Chromeを利用している場合は自分のChromeが最新版にアップデートされているかどうかを確認することが重要です。

Google Chromeメニュー画面の「Google Chromeについて」からバージョン情報の確認が可能

また、Impervaは『暗号資産を保護するためには、ソフトウェアを最新の状態に保ち、信頼できないリンクをクリックしたり、ファイルをダウンロードしたりしないようにすることが重要』とも説明しており、ハードウェアウォレットや2段階認証などでセキュリティを強化することも推奨しています。

>>「Imperva」の公式発表はこちら

仮想通貨ニュース|新着

仮想通貨・NFT活用の本格バトロワゲーム「Off the Grid」PS5などで早期アクセス版公開NEW

仮想通貨・NFT活用の本格バトロワゲーム「Off the Grid」PS5などで早期アクセス版公開

Suiで「ネイティブUSDC」が利用可能に|ブリッジ型USDCとの違いは?NEW

Suiで「ネイティブUSDC」が利用可能に|ブリッジ型USDCとの違いは?

iOSアプリ「Jupiter Mobile」公開、ソラナDEXアグリゲーターのモバイル版NEW

iOSアプリ「Jupiter Mobile」公開、ソラナDEXアグリゲーターのモバイル版

BINANCE、上場廃止10銘柄「USDC」に自動変換へ|国内上場の仮想通貨もNEW

BINANCE、上場廃止10銘柄「USDC」に自動変換へ|国内上場の仮想通貨も

FTX再建計画、米国破産裁判所が承認|債権者に「119%」返還へNEW

FTX再建計画、米国破産裁判所が承認|債権者に「119%」返還へ

Ubisoft「ゲーム早期アクセス権付きNFT」発売へ|Magic Eden初のアービトラムNFTミント

Ubisoft「ゲーム早期アクセス権付きNFT」発売へ|Magic Eden初のアービトラムNFTミント

仮想通貨入門 - 基礎知識

【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説

【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説

シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開

シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開

各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説

各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説

‌NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説

‌NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

DEX(分散型取引所)とは?特徴・使い方・注意点などをわかりやすく解説

DEX(分散型取引所)とは?特徴・使い方・注意点などをわかりやすく解説

市場分析・価格予想

異例の横ばい状態が続くビットコイン市場、停滞の理由と大口投資家の動き:PlanB氏

異例の横ばい状態が続くビットコイン市場、停滞の理由と大口投資家の動き:PlanB氏

イスラエル情勢悪化でビットコイン価格急落|予想的中アナリストが語る反発ライン

イスラエル情勢悪化でビットコイン価格急落|予想的中アナリストが語る反発ライン

ビットコイン価格上昇の背景と今後の展開|10月末には過去最高値更新か=10x Research

ビットコイン価格上昇の背景と今後の展開|10月末には過去最高値更新か=10x Research

「ソラナ移行が進まないのが不思議でならない」VanEck子会社がレポートで指摘

「ソラナ移行が進まないのが不思議でならない」VanEck子会社がレポートで指摘

ドージコイン、ブレイクアウト条件の1つをクリア|アルトコインシーズンは時間の問題?

ドージコイン、ブレイクアウト条件の1つをクリア|アルトコインシーズンは時間の問題?

ビットコイン、63,000ドルまで回復「押し目買いの余地は十分ある」

ビットコイン、63,000ドルまで回復「押し目買いの余地は十分ある」