Google Chromeに脆弱性「仮想通貨ウォレットなどの機密情報」が盗まれる可能性

by BITTIMES

Googleが提供するウェブブラウザ「Google Chrome」の脆弱性によって、仮想通貨ウォレットやクラウドプロバイダーの認証情報などといった機密ファイルが盗まれる可能性があることがサイバーセキュリティ企業「Imperva(インパーバ)」の報告で明らかになりました。Chrome利用者には、ソフトウェアを最新版にアップデートすることが推奨されています。

こちらから読む:米大学、ビットコインに関する授業提供へ「暗号資産」関連ニュース

25億人以上のChromeユーザーに影響する可能性

サイバーセキュリティ企業Imperva(インパーバ)は2023年1月11日に、Googleが提供する主流のウェブブラウザである「Google Chrome」で『CVE-2022-3656』と呼ばれる脆弱性が見つかったことを発表しました。

この脆弱性は「Google Chrome」や「Chromiumベースのブラウザ」を利用する25億人以上のユーザーに影響を与える可能性があるとのことで、この脆弱性の影響で仮想通貨ウォレットやクラウドプロバイダーの認証情報などの機密ファイルが盗まれる可能性があると報告されています。

今回の脆弱性は「ChromeやChromiumベースのブラウザがファイルシステムをどのように扱うか」についての調査を実施した際に発覚したとのことで、具体的には他のファイルやディレクトリを指し示すファイルの一種である「シンボリックリンク」に関連する項目で問題が見つかったとされています。

シンボリックリンクは適切に処理されないと脆弱性をもたらす可能性があるとのことで、今回のケースに関しては『シンボリックリンクがアクセス可能ではない場所を指しているかどうかをブラウザが適切にチェックしなかったため、機密ファイルが盗まれる可能性があった』と説明されています。

今回の脆弱性を悪用した攻撃シナリオ

今回見つかった脆弱性を悪用した攻撃のシナリオとしては以下のようなケースが挙げられています。

攻撃者は仮想通貨ウォレットサービスを提供する偽サイトを作成、偽サイトで「復元キーのダウンロード」を要求して新しいウォレットを作成させるが、この復元キーは実際には「ユーザーの機密ファイルへのシンボリックリンクを含むZIPファイル」となっている。ユーザーが復元キーを解凍してウェブサイトにアップロードすると、シンボリックリンクが処理され、攻撃者は機密ファイルにアクセスできるようになる。

偽のウェブサイトは合法的なサイトに見えるように設計されており、復元キーのダウンロード・アップロードプロセスも正常に見えるように設計されているため、ユーザーは問題が発生したことに気付かない可能性がある。

Chrome利用者は最新版へのアップデートを

Impervaは今回の発表の中で『ImpervaチームはChrome 107で今回の問題が解決されていないことが発覚したため、このことをGoogleに報告、これによってChrome 108では今回の問題が完全に解決された』と報告しており、最新の脆弱性から個人情報や機密情報を保護するために、Google Chromeのソフトウェアを常に最新の状態に保つことが重要だと説明しています。

自分が現在使用しているGoogle Chromeのバージョン情報は、Google Chromeのメニュー画面から「Google Chromeについて」のページに進むことによって確認することができるため、Chromeを利用している場合は自分のChromeが最新版にアップデートされているかどうかを確認することが重要です。

Google Chromeメニュー画面の「Google Chromeについて」からバージョン情報の確認が可能

また、Impervaは『暗号資産を保護するためには、ソフトウェアを最新の状態に保ち、信頼できないリンクをクリックしたり、ファイルをダウンロードしたりしないようにすることが重要』とも説明しており、ハードウェアウォレットや2段階認証などでセキュリティを強化することも推奨しています。

>>「Imperva」の公式発表はこちら

暗号資産を安全に保管できる「TREZOR(トレザー)」の購入は、英語が苦手でも安心して購入することができる"TREZOR日本正規販売店"「RISEST COLTD」からどうぞ

TREZORの画像 TREZORの日本正規販売店はこちら

この記事が気に入ったら
いいね!しよう

関連のある仮想通貨ニュース

韓国・新韓銀行「Klaytn(クレイトン)のガバナンス評議会」に参加

韓国・新韓銀行「Klaytn(クレイトン)のガバナンス評議会」に参加

GMOコイン:ドージコイン(Dogecoin/DOGE)取扱いへ

GMOコイン:ドージコイン(Dogecoin/DOGE)取扱いへ

LUNC:Tax Burnの税率を「0.2%」に引き下げ|BINANCEも入出金手数料を変更

LUNC:Tax Burnの税率を「0.2%」に引き下げ|BINANCEも入出金手数料を変更

HashPort:会社分割で「株式会社HashBank」設立|決済分野の新規事業も計画

HashPort:会社分割で「株式会社HashBank」設立|決済分野の新規事業も計画

ビットフライヤー:金連動トークン「ジパングコイン(ZPG)」取扱いへ

ビットフライヤー:金連動トークン「ジパングコイン(ZPG)」取扱いへ

HEXA LANDの3D仮想空間「HEXAメタバース」の詳細発表|Plain LAND NFT発売も予定

HEXA LANDの3D仮想空間「HEXAメタバース」の詳細発表|Plain LAND NFT発売も予定

注目度の高い仮想通貨ニュース

アート・NFT分散型保有プラットフォームSTRAYM「Astar Japan Lab」に入会

アート・NFT分散型保有プラットフォームSTRAYM「Astar Japan Lab」に入会

The Sandboxに「北斗の拳」のメタバース構築|世紀末LAND展開へ

The Sandboxに「北斗の拳」のメタバース構築|世紀末LAND展開へ

Cardano関連ウォレット「Yoroi」ERGトークンのサポート終了へ

Cardano関連ウォレット「Yoroi」ERGトークンのサポート終了へ

Terra:LUNA・LUNC関連の最新版ウォレット「Station」公開|ステーキングで新機能も

Terra:LUNA・LUNC関連の最新版ウォレット「Station」公開|ステーキングで新機能も

ロバート・キヨサキ氏が語る「金・銀・ビットコインが高騰する理由」

ロバート・キヨサキ氏が語る「金・銀・ビットコインが高騰する理由」

南アフリカ最大級のスーパー「Pick n Pay」ビットコイン決済に本格対応

南アフリカ最大級のスーパー「Pick n Pay」ビットコイン決済に本格対応

StockTwits「カルダノNFTの出来高ランキングTOP10」公開|ADAはトレンド1位に浮上

StockTwits「カルダノNFTの出来高ランキングTOP10」公開|ADAはトレンド1位に浮上

柴犬コイン(SHIB)VS メタケード(MCADE)2023年の仮想通貨投資の成功への道

柴犬コイン(SHIB)VS メタケード(MCADE)2023年の仮想通貨投資の成功への道

Redditによる長期投資におすすめのメタバースプロジェクト7選

Redditによる長期投資におすすめのメタバースプロジェクト7選

ビットポイント:Flareトークン(FLR)の貸出募集開始|貸出期間30日間・年率2%

ビットポイント:Flareトークン(FLR)の貸出募集開始|貸出期間30日間・年率2%

ブロックチェーン・暗号資産ニュース週間まとめ|2023年1月8日〜14日

ブロックチェーン・暗号資産ニュース週間まとめ|2023年1月8日〜14日

FTXの債権者リスト公開|Apple・Googleなどの大手企業や各国政府機関も名称も

FTXの債権者リスト公開|Apple・Googleなどの大手企業や各国政府機関も名称も

仮想通貨ニュース | 新着記事一覧

仮想通貨まとめ一覧

Efinityのエフィニティトークン(EFI)とは?基本情報・特徴・購入方法などを解説

Efinityのエフィニティトークン(EFI)とは?基本情報・特徴・購入方法などを解説

オアシス(Oasys/OAS)とは?基本情報・特徴・購入方法などを解説

オアシス(Oasys/OAS)とは?基本情報・特徴・購入方法などを解説

大手企業などで技術採用が進む「注目のブロックチェーン・仮想通貨」を紹介

大手企業などで技術採用が進む「注目のブロックチェーン・仮想通貨」を紹介

2022年「仮想通貨市場で起きた大きな事柄まとめ」崩壊・暴落から学ぶべきことは?

2022年「仮想通貨市場で起きた大きな事柄まとめ」崩壊・暴落から学ぶべきことは?

2022年「最も検索された仮想通貨TOP10」ミームコインが上位にランクイン

2022年「最も検索された仮想通貨TOP10」ミームコインが上位にランクイン

アクシーインフィニティ(Axie Infinity/AXS)とは?基本情報・特徴・購入方法などを解説

アクシーインフィニティ(Axie Infinity/AXS)とは?基本情報・特徴・購入方法などを解説

人気のタグから探す