Googleが提供するウェブブラウザ「Google Chrome」の脆弱性によって、仮想通貨ウォレットやクラウドプロバイダーの認証情報などといった機密ファイルが盗まれる可能性があることがサイバーセキュリティ企業「Imperva(インパーバ)」の報告で明らかになりました。
Chrome利用者には、ソフトウェアを最新版にアップデートすることが推奨されています。
25億人以上のChromeユーザーに影響する可能性
サイバーセキュリティ企業Imperva(インパーバ)は2023年1月11日に、Googleが提供する主流のウェブブラウザである「Google Chrome」で『CVE-2022-3656』と呼ばれる脆弱性が見つかったことを発表しました。
この脆弱性は「Google Chrome」や「Chromiumベースのブラウザ」を利用する25億人以上のユーザーに影響を与える可能性があるとのことで、この脆弱性の影響で仮想通貨ウォレットやクラウドプロバイダーの認証情報などの機密ファイルが盗まれる可能性があると報告されています。
今回の脆弱性は「ChromeやChromiumベースのブラウザがファイルシステムをどのように扱うか」についての調査を実施した際に発覚したとのことで、具体的には他のファイルやディレクトリを指し示すファイルの一種である「シンボリックリンク」に関連する項目で問題が見つかったとされています。
シンボリックリンクは適切に処理されないと脆弱性をもたらす可能性があるとのことで、今回のケースに関しては『シンボリックリンクがアクセス可能ではない場所を指しているかどうかをブラウザが適切にチェックしなかったため、機密ファイルが盗まれる可能性があった』と説明されています。
今回の脆弱性を悪用した攻撃シナリオ
今回見つかった脆弱性を悪用した攻撃のシナリオとしては以下のようなケースが挙げられています。
攻撃者は仮想通貨ウォレットサービスを提供する偽サイトを作成、偽サイトで「復元キーのダウンロード」を要求して新しいウォレットを作成させるが、この復元キーは実際には「ユーザーの機密ファイルへのシンボリックリンクを含むZIPファイル」となっている。ユーザーが復元キーを解凍してウェブサイトにアップロードすると、シンボリックリンクが処理され、攻撃者は機密ファイルにアクセスできるようになる。
偽のウェブサイトは合法的なサイトに見えるように設計されており、復元キーのダウンロード・アップロードプロセスも正常に見えるように設計されているため、ユーザーは問題が発生したことに気付かない可能性がある。
Chrome利用者は最新版へのアップデートを
Impervaは今回の発表の中で『ImpervaチームはChrome 107で今回の問題が解決されていないことが発覚したため、このことをGoogleに報告、これによってChrome 108では今回の問題が完全に解決された』と報告しており、最新の脆弱性から個人情報や機密情報を保護するために、Google Chromeのソフトウェアを常に最新の状態に保つことが重要だと説明しています。
自分が現在使用しているGoogle Chromeのバージョン情報は、Google Chromeのメニュー画面から「Google Chromeについて」のページに進むことによって確認することができるため、Chromeを利用している場合は自分のChromeが最新版にアップデートされているかどうかを確認することが重要です。
また、Impervaは『暗号資産を保護するためには、ソフトウェアを最新の状態に保ち、信頼できないリンクをクリックしたり、ファイルをダウンロードしたりしないようにすることが重要』とも説明しており、ハードウェアウォレットや2段階認証などでセキュリティを強化することも推奨しています。