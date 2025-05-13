以前、ほとんどの「ブラウザーへの侵入」攻撃は、マルウェアがブラウザーのメモリーをスキャンして特定のHTMLパターンを識別し、ページのメモリー内コンテンツに<script>タグを直接挿入することで実行されていました。悪意があるにもかかわらず、これらのスクリプトは、サンドボックス環境内で動作すること、同じオリジン・ポリシーに準拠すること、挿入されたページのライフサイクルに関連付けられることなど、依然としてブラウザーのセキュリティー・メカニズムの対象となっていました。

例えば、挿入されたスクリプトは他のソースからクッキーや参考情報にアクセスできず、ページが閉じられた後に永続化または実行することもできませんでした。

これとは対照的に、悪意のあるブラウザー拡張機能を使用する最近の攻撃は、これらの制限のほとんどを克服しています。拡張機能は特定のWebページから独立して動作し、バックグラウンドで永続的に実行できます。また、高い権限を持っているため、同じオリジンの制限をバイパスし、クッキーや参考情報などのブラウザー全体のストレージにアクセスし、どのページも開かれていない場合でもアクティブな状態を維持できます。この変化により、ブラウザー拡張機能は攻撃者にとって強力なツールとなり、従来のWebインジェクション方法をはるかに超えるレベルの永続性と制御を提供します。

拡張機能により、JavaScriptの実行コンテキストにも変更が加えられ、それ自体に悪意のあるメリットがあります。従来のWebインジェクションは、セキュリティー・ツールを含むWebアプリケーション・コードと同じコンテキストで実行されました。残された証拠（スクリプト要素、ネットワーク要求、js変数など）があれば、マルウェアを検出できる可能性があります。

現在、ページ・コンテキストに加えて、2つの異なるJavaScript環境があります。

まず、ページ・ドキュメントにアクセスできるものの、メイン・ページ環境から部分的に分離されているコンテンツ・スクリプト・コンテキストがあります。 さらに、コンテンツ・スクリプトやメイン・ページ環境にはアクセスできないバックグラウンド・コード・コンテキスト（サービス・ワーカー）があります。

これらのコンテキスト間の通信はすべて、ページやその開発者には見えない定義済みのブラウザー・インターフェースを介して行われます。拡張機能のほとんどの動作と証拠は設計により分離されており、メインのドキュメントに変更がなければ、検知は特に困難です。

最新のブラウザーAPIに提供される広範な組み込み機能とアクセス許可のおかげで、強化された回避機能の提供に加え、ブラウザー拡張機能の開発も簡単です。次の分析では、拡張機能によって複雑な攻撃の開発がどのように容易になるかを示しています。

拡張機能が提供する制御、永続性、回避機能の向上、開発の容易さを考慮すると、ブラウザー・ベースの脅威の進化において、従来の「ブラウザー内行動」の手法から拡張機能ベースの攻撃への移行は、理解可能であるだけでなく、避けられないものであると言えます。