Mozillaは2025年8月1日、Firefoxアドオン開発者を標的とした進行中のフィッシングキャンペーンを警告した。詐欺メールはMozillaやaddons.mozilla.orgを装い、「Mozilla アドオンアカウントの更新が必要」などの内容で開発者にリンクをクリックさせ、アカウントを乗っ取ろうとする手口である。
この攻撃の目的は信頼された開発者アカウントへの不正アクセスと推定され、暗号通貨ユーザーを狙った詐欺拡張機能の拡散に使われるおそれがある。独立セキュリティ研究者Lukasz Olejnikは、主にウォレットのシードフレーズを盗む悪意ある拡張機能が定期的に新たに出現していると指摘した。
Koi Securityは2025年7月の研究で、40以上の悪質なFirefox拡張機能が単一キャンペーンの一部として使用され、CoinbaseやMetaMask、OKXなどのブランドを偽装してウォレットの認証情報を窃取していると報告した。このキャンペーンは2025年4月から継続中である。
FBIの2024年インターネット犯罪レポートによると、米国では暗号通貨関連詐欺で58億ドルの損失が記録され、2023年と比較して47%増加した。Mozillaのアドオン運営マネージャーAndreas Wagnerは、悪意ある開発者が検出方法を回避するため継続的に活動しており、自動システムと人間のレビュアーによる対策を強化していると述べた。
From:
Mozilla flags phishing wave aimed at hijacking trusted Firefox add-ons
【編集部解説】
このニュースが示す最も重要な点は、信頼された「開発者アカウント」そのものが攻撃対象となっているという新しい脅威の形です。従来のマルウェア拡張機能は偽のアプリを直接配布していましたが、今回の手法は正当な開発者になりすまして内部から攻撃を仕掛けるという、より巧妙な戦略に進化しています。
ブラウザ拡張機能の脆弱性は、現代のWebセキュリティにおいて見過ごされがちな盲点となっています。拡張機能は通常のアプリケーションとは異なり、ブラウザ内で直接動作するため、ユーザーの全てのWeb活動にアクセス可能です。さらに、プロセス開始イベントを生成しないため、従来のセキュリティツールでは検出が困難という特徴があります。
今回の攻撃キャンペーンが特に深刻なのは、暗号通貨ウォレットという高価値ターゲットに焦点を当てている点です。FBIの報告によれば、2024年には暗号通貨詐欺による被害額が58億ドルに達し、前年比47%増という大幅な増加を記録しています。この背景には、ウォレットのシードフレーズさえ入手できれば、リモートでウォレットを完全に乗っ取れるという暗号通貨の技術的特性があります。
技術的な観点から見ると、Firefox の拡張機能審査プロセスは Chrome よりも寛容な傾向があることが研究で明らかになっています。Chrome は Manifest V3 という厳格なセキュリティモデルを導入していますが、Firefox は開発者により多くの柔軟性を提供している反面、セキュリティリスクも高くなっています。
この事案が業界に与える長期的な影響は計り知れません。ブラウザベンダーは開発者アカウントの認証プロセスを根本的に見直す必要に迫られるでしょう。二要素認証の義務化、定期的なアカウント検証、さらには開発者の身元確認まで含む包括的なセキュリティフレームワークの構築が急務となります。
また、拡張機能のリアルタイム監視システムの重要性も浮き彫りになりました。現在のシステムでは公開前の審査に重点が置かれていますが、公開後の動作変更や悪意のあるアップデートを検出する仕組みが不十分です。将来的には、機械学習を活用した異常行動検知システムや、拡張機能の動作を継続的に監視するメカニズムが標準化される可能性があります。
この攻撃手法の進化は、サイバーセキュリティの新たな転換点を示しています。攻撃者は技術的な脆弱性を突くだけでなく、エコシステム全体の信頼関係を悪用する手法にシフトしており、防御側もより包括的なアプローチが求められる時代に入ったといえるでしょう。
【用語解説】
フィッシング(Phishing)
本物の企業やサービスを装った偽のメールやウェブサイトによって、ユーザーのログイン情報や個人情報を騙し取るサイバー攻撃手法である。語源は魚釣り(fishing)に由来し、餌を使って獲物を釣り上げることに例えている。
シードフレーズ(Seed Phrase)
暗号通貨ウォレットの復旧に使用される12~24個の英単語の組み合わせ。この単語列さえあれば、別のデバイスからでもウォレットを完全に復元できるため、暗号通貨の「マスターキー」とも呼ばれる。
AMO(addons.mozilla.org)
Mozillaが運営するFirefoxアドオンの公式配布サイトである。開発者がアドオンを公開し、ユーザーがダウンロードできるプラットフォームとして機能している。
二要素認証(2FA: Two-Factor Authentication)
パスワードに加えて、SMS、アプリ、ハードウェアキーなどの第二の認証要素を使用するセキュリティ手法である。アカウント乗っ取りのリスクを大幅に低減できる。
WebExtensions API
Chrome、Firefox、Edgeなどの主要ブラウザで共通して使用できる拡張機能開発のためのAPI規格である。2017年にMozillaが採用し、クロスブラウザ対応を可能にした。
【参考リンク】
Mozilla Add-ons(外部)
Firefoxブラウザ用の拡張機能とテーマを配布する公式サイト。
MetaMask(外部)
Ethereumブラウザウォレットの代表的サービス。Web3アプリケーションとの連携に使用。
OKX(外部)
グローバル展開する大手暗号通貨取引所。現物・先物取引を統合したプラットフォーム。
Koi Security(外部)
ブラウザ拡張機能やソフトウェアのセキュリティリスクを評価・管理する企業。
Lukasz Olejnik(外部)
独立系サイバーセキュリティ・プライバシー研究者の公式サイト。
【参考記事】
Warning: Phishing campaign detected(外部)
Mozilla公式ブログによるフィッシング攻撃の警告記事。開発者向け注意点を記載。
Mozilla warns of phishing attacks targeting add-on developers(外部)
BleepingComputerによる同事案の報道記事。技術的背景を分析。
Mozilla Warns of Phishing Campaign Targeting Add-on Developer Accounts(外部)
サイバーセキュリティ専門メディアによる詳細な分析記事。
Over 40 Malicious Firefox Extensions Target Cryptocurrency Wallets(外部)Koi Securityの研究を基にした40以上の悪意あるFirefox拡張機能の詳細レポート。
“FoxyWallet”: More than 40 malicious Firefox add-ons discovered(外部)
ドイツの技術メディアによるFoxyWalletキャンペーンの詳細分析。技術的検証と対策について報告している。ドイツの技術メディアによるFoxyWalletキャンペーンの詳細分析。
Key Findings from the FBI’s 2024 IC3 Report(外部)
FBI 2024年インターネット犯罪レポートの要点解説。暗号通貨詐欺の被害統計。
【編集部後記】
普段便利だと感じているFirefoxアドオン、最後に権限や開発者を確認したのはいつでしょうか。
今回のニュースを機に、一度インストール済みの拡張機能を見直してみませんか。権限が過剰ではないか、二要素認証は設定済みかなど、ちょっとした点検でリスクは大きく下がります。
もし「こんなチェック方法が役立った」「危険なアドオンを発見した」など気づきがあれば、ぜひSNSで共有してください。
