悪意のある拡張機能がOperaのプライベートAPIにアクセスできる脆弱性

Operaウェブブラウザにおいて、悪意のある拡張機能が機密性の高いAPIに無断アクセスできる深刻なセキュリティ脆弱性が発見されました。この脆弱性によりアカウントのハイジャックやその他の重大なセキュリティ侵害のリスクが高まる可能性があります。Guardio Labsの研究者が発見したこの脆弱性は「CrossBarking」と名付けられ、Operaは2024年9月24日にこの脆弱性に関する報告を受けてパッチを適用しました。

脆弱性の原因：Operaのシステム内で特権を持つドメイン

この脆弱性の原因は、Operaブラウザの「Opera Flow」「Opera Wallet」「Pinboard」などの機能に割り当てられた特権付きドメインの処理方法にあることが判明しました。これらの特権ドメインは、Operaのネイティブコード内のプライベートAPIにアクセスできる権限を持っており、Guardio Labsの研究者は、悪意のある拡張機能がこの仕組みを悪用してコードを注入し、Operaのセキュリティ対策を回避する方法を発見しました。

証明実験によりリスクの可能性を実証

Guardio Labsは、「CrossBarking」の深刻さを証明するために、無害に見える「子犬テーマ」の拡張機能を使用して概念実証攻撃を行いました。この拡張機能をChromeウェブストアにアップロードし、Operaユーザーがインストールすると、Operaの特権ドメイン上で悪意のある操作が可能になることが確認されました。攻撃では、タブのスクリーンショットの取得やセッションCookieの抽出、DNS-over-HTTPS設定の変更などが行え、ユーザーが中間者攻撃やセッションハイジャックのリスクにさらされる可能性が示されました。

詳細なレポートはGuardio Labsの発表こちらから確認できます。この概念実証拡張機能は、Operaの厳格な拡張機能審査プロセスを回避できたため、悪意のある拡張機能が同様に潜り抜けるリスクが示されています。

ブラウザセキュリティに関するより広範な影響

今回のOperaの脆弱性は、拡張機能のセキュリティ管理においてブラウザが直面する課題に再び注目を集めています。Operaにおける「CrossBarking」問題は、以前に発見された「MyFlaw」と呼ばれる脆弱性に続くもので、この脆弱性はユーザーシステム上での任意ファイル実行を許していました。また、最近の調査では、30万件以上のGoogle ChromeおよびMicrosoft Edgeユーザーが、データ流出機能を備えた悪意のある拡張機能の影響を受けていることも確認され、リスクが一層浮き彫りになっています。

Operaの対応と継続的なセキュリティ対策

Operaは、「CrossBarking」脆弱性に迅速に対応し、第三者ドメインの権限を削除するパッチを適用しました。また、今後のアップデートに向けて構造的な機能の再設計に取り組む予定で、将来同様の脆弱性が発生しないよう対策を強化する方針を示しています。

ユーザーへのセキュリティアドバイス

このような事態を受け、ユーザーにはブラウザを常に最新の状態に保つことと、信頼性のあるソースからの拡張機能に限定してインストールすることが推奨されます。ブラウザが進化するにつれ、新機能と堅牢なセキュリティ対策のバランスをとることが、潜在的な脅威からユーザーを保護するための重要な課題となっています。