Google Chrome のセキュリティ機能を回避し、保存されたパスワードや Cookie などの機密データを盗み出す新たなマルウェア「VoidStealer」が発見されました。
Gen Digital のセキュリティ研究者によると、このマルウェアは Chrome 127 で導入された Application-Bound Encryption (ABE) という保護機能を突破し、暗号化を解除するためのマスターキーをブラウザのメモリから直接抽出することが確認されています。
この問題について、現時点では Google から公式発表などはないとされています。
VoidStealer による Chrome セキュリティの回避手法
Google は 2024 年の Chrome 127 アップデートで、マルウェアからユーザーのデータを守るために ABE を導入しました。
これにより、ディスク上に保存されたマスターキーは通常の権限では復号できなくなりましたが、VoidStealer はこれまでのマルウェアとは異なるアプローチでこの保護をすり抜けます。
VoidStealer は、ブラウザに悪意のあるコードを直接注入したり、システムの権限を不当に昇格させたりするのではなく、Chrome のデバッガとして動作します。
ブラウザの起動直後、暗号化されたデータを利用するためにマスターキーが一瞬だけメモリ上にプレーンテキストで展開されるタイミングを狙い、ハードウェアブレークポイントと呼ばれる仕組みを使ってキーを盗み出します。
イメージで言えば、ブラウザがパスワードの鍵穴を開けた一瞬の隙を突いて、合鍵をコピーして持ち去るような動きをします。これまでオープンソースのツールで実証されていた手法ですが、実際のサイバー攻撃のツール(Malware-as-a-Service)として悪用されたのが確認されたのはこれが初めてです。
Google の対応状況
現在、VoidStealer のような高度な情報窃取マルウェアはダークウェブ等で販売されており、攻撃のハードルが下がっている状況にあります。
現時点では Google からこの特定の手法に関する公式な声明や修正パッチは展開されていませんが、過去にも類似のバイパス手法に対して Google は継続的に修正を行ってきているため、今後の Chrome のアップデートによる対策が期待されます。
また、ChromeOS でも将来的なアップデートによる修正が展開される可能性があります。
まとめ
新たに確認された VoidStealer は、Chrome の ABE セキュリティをデバッガの仕組みを悪用して回避する、非常に巧妙なマルウェアです。
パスワードや Cookie といった重要なデータが危険にさらされる可能性があるため、今後の Google の対応とセキュリティアップデートの動向には注意を払う必要があります。
ユーザーや管理者の対策として、ブラウザを常に最新の状態に保ち、不審なファイルの実行には十分警戒するようにしてください。
