暗号資産ウォレットを狙う悪意あるChrome拡張機能「Safery: Ethereum Wallet」が確認され、研究者によりその仕組みが明らかになっています。この拡張は安全なETHウォレットを装いながら、利用者の種フレーズを外部に送信する仕組みを内蔵していたと報告されています。攻撃者はSuiブロックチェーンを悪用し、種フレーズをアドレスに偽装して送信することで痕跡を隠す手法を取っています。拡張は2025年9月末から公開されており、研究者はその期間に悪意ある活動が行われていた可能性を指摘しています。
The Hacker News:Fake Chrome Extension “Safery” Steals Ethereum Wallet Seed Phrases Using Sui Blockchain
この記事のポイント
影響のあるシステム
- Chromeブラウザを利用し、「Safery: Ethereum Wallet」拡張をインストールした環境
- Ethereumウォレットの種フレーズ(Mnemonic)を入力したユーザー
- Suiブロックチェーンを使用した取引を追跡している環境
推奨される対策
- Chrome Web Storeで提供される拡張機能でも正規性を必ず再確認する
- ウォレット拡張を導入する際、コードサインや実績のある開発元かを確認する
- 拡張機能が外部ブロックチェーンへ予期せぬ通信を行っていないかモニタリングする
- 既に当該拡張を使用した場合は、直ちに種フレーズを変更し、新しいウォレットへ資産を移動する
この記事に出てくる専門用語
- 種フレーズ(Seed Phrase):暗号資産ウォレットの復元に必要な一連の英単語。盗まれると資産を奪われます。
- Suiブロックチェーン:高速処理を特徴とするブロックチェーン。今回の攻撃ではデータ隠蔽に悪用されました。
- Chrome拡張機能:Google Chromeに機能を追加するプラグイン。悪意あるものも公開される場合があります。
偽ウォレット拡張が実装していた秘密の情報窃取手法
研究者によれば、「Safery: Ethereum Wallet」は正規のETHウォレットを装いながら、内部に種フレーズを外部へ密かに送信するバックドアが組み込まれていました。特徴的なのは、一般的なC2(コマンド&コントロール)通信を使わず、Suiブロックチェーンの仕組みを利用して情報を隠し送る点です。攻撃者は被害者が入力した種フレーズをSuiウォレットアドレスに偽装し、0.000001 SUIのわずかな取引を発生させることで、表向きは通常の取引に見える形で秘密情報を外部へ流出させていました。この方法は一般的な通信監視では検知されにくく、ユーザーが不正な動作に気づきにくい可能性があると報告されています。
取引を悪用した“隠し送信”:攻撃者はどのように種フレーズを復元するのか
攻撃者が採用した仕組みは、種フレーズをSuiアドレスに変換し、そのアドレス宛てにマイクロトランザクションを送るというものでした。取引がブロックチェーンに記録されると、攻撃者は自ら管理するウォレットを通じてそれらのアドレスを監視し、受信アドレスの中身を逆変換することで、被害者の本来の種フレーズを復元できます。その後、攻撃者はウォレットにアクセスできる状態となり、資産を移動させることが可能になります。特に今回の手法は、通信先のサーバーや特定のURLを追跡する一般的な検知ルールでは見逃されやすいため、この手法は従来の検知方法では見逃される可能性があると指摘されています。
ユーザーが確認すべきポイントと拡張機能監査の重要性
今回の事例は、Chrome Web Storeで提供されている拡張機能であっても、そのまま信頼してよいとは限らないことを示しています。暗号資産を扱うユーザーは特に注意が必要で、導入しているウォレット拡張が不審な権限を要求していないか、外部チェーンへ意図しない通信を行っていないか確認することが重要です。また、拡張機能の動作や外部通信を確認することも、不審な挙動の早期発見につながる可能性があります。もし当該拡張を使用した可能性がある場合は、種フレーズの変更や新しいウォレットへの移行が推奨されています。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
