メインコンテンツへスキップ
Mozillaの偽拡張機能に関する調査
調査 • 読了時間:6~8分

150以上の偽Mozilla拡張機能 — 単一のバックエンドと有料メディア

メディアは、150件以上の偽のMozilla拡張機能について「ロシアのハッカー」を非難した。我々の調査結果によると、ナイジェリアのインフラ(IPアドレス 185.208.156.66)や再利用されたフィッシングキットが関与していたほか、有料記事がこの誤った情報が広まる一因となったことが明らかになった。

誤解を招く物語

ある物語について 「150件以上の偽のMozilla拡張機能」 いわゆる「ロシアの痕跡」に結びつけられたこの話は、主要な暗号資産やセキュリティ関連のメディアで大きく取り上げられた。劇的な話に聞こえるが、我々の分析によれば、この説は誤解を招くものであり、さらに悪いことに、 それは真の加害者を庇っている.

1つのバックエンドに150以上の低品質な拡張機能が搭載されている

このキャンペーンに含まれるすべての拡張機能は、以下の通りでした:

  • 独自性がなく、単なるコピペのような出来栄え。
  • ロゴと名称だけが異なっていた。
  • これらはすべて、ある 単一バックエンド.
バックエンドのIPアドレス: 185.208.156.66
バックエンドのドメインは alladdsite[.]digital/app.php。このIPアドレスに関連付けられていたドメインのほとんどは現在利用不能となっているが、UrlscanやWebArchiveを通じてアーカイブにスナップショットが保存されている。

このキャンペーンに対する私たちの対応

フィッシングや詐欺のインフラのテイクダウンを専門とする独立系の脅威インテリジェンスグループとして、私たちは以下の活動を行っています:

  • 悪意のある拡張機能を報告するため、Mozillaに直接報告を送信しました。
  • エスカレーション先: SEAL、禁止措置を加速させるため、専門家の支援を要請している。
  • コミュニティへの周知を目的として、Chainabuseに関するレポートを公開しました。
  • 攻撃者のバックエンドに何百万もの無効なシードフレーズを注入し、盗まれたデータを汚染した。

なぜこれが「ロシア」のインフラではないのか

ロシア語を話す脅威アクターは、通常、以下のものを使用します:

  • 分散型バックエンド(Cloudflare Workers、Firebase、Amazon、キャンペーンごとの固有リンク)。
  • 単一障害点を回避するための難読化と冗長化。

その代わりに、このキャンペーンは次のことを示した:

  • A ナイジェリアのホスティングプロバイダー.
  • 銀行詐欺、偽の仮想通貨ウォレット、偽の配送詐欺に関連する近隣のドメイン。
  • あるTelegramアカウントは、ある組織に関連する盗まれたデータを受け取っており、 ナイジェリアの通信事業者.
「ロシアのグループは洗練されたインフラを構築している。しかし、これは安価で、一元管理されており、洗練されていなかった――まさに、これまでナイジェリアのサーバーで目にしてきたものそのものだ。」

ペイドメディアの問題

有料メディアへの掲載は、深刻な結果を招きます:

  1. 権威あるメディアに、有料記事が1本掲載された。
  2. 何百もの小規模なサイト、ブログ、Telegramチャンネルが、その内容を書き直したり翻訳したりしています。
  3. ほんの数日のうちに、それは信憑性があるかのような錯覚を伴う、大規模な偽の物語へと変貌してしまう。
「被害者たちは『ロシアの痕跡』を目にして、事件は解決したと信じ込み、当局への通報をやめてしまう。その結果、真犯人は手つかずのまま残ってしまう。」

例:エンジェル・ドレイナー

主要メディア各社はこぞって、次のような見出しを報じた。 「開発者が特定されたことを受け、『Angel Drainer』は停止した。」 しかし、それは本当だったのだろうか――それとも、信憑性があるように見えるまで繰り返し流された、単なる有料記事に過ぎなかったのだろうか? 犯罪者にとって、記事を買うのは小銭に過ぎないが、被害者にとっては、それがすべてを変えてしまうのだ。

自社の広報活動を自社で行うサイバーセキュリティ企業

サイバーセキュリティ企業は、自社や自社の研究、その影響力に関する記事に対して数万ドルを支払っている。これには、次のような根本的な疑問が浮かび上がる:

  • なぜ、本格的なサイバーセキュリティチームが保険料を支払わなければならないのでしょうか?
  • 彼らは、本物のハッカーの足跡を隠そうとしているのだろうか?
  • あるいは、ハッカーの身元を利用して、恐喝や競争上の優位性を得るのか?
  • その目的は、信頼を強めることなのか――それとも、利益を得るために人々の認識を操作することなのか?
「もしサイバーセキュリティが、より多くのお金を払う者が事実を左右するような、単なる広報合戦になってしまえば、この分野への信頼は崩壊してしまうだろう。」

市場の証拠

この慣行は公然の事実です:

  • Fiverr、Upwork、およびPR専門のマーケットプレイスでは、「ゲスト投稿」を直接購入することができます。
  • プロバイダー各社は、数十の販路や価格を記載したGoogleスプレッドシートを送信してくる――その中には、有名なサイバーセキュリティブランドも含まれている。
  • 「追加料金を支払えば、スポンサーのロゴは表示されません」と約束するところもある。

記事を購入する目的として挙げられているものには、次のようなものがあります:

  • リンク構築(SEO)。
  • トラフィックと売上。
  • ブランド認知度。
  • 評判管理(ネガティブな情報を目立たなくする)。
  • ソーシャル認証。
  • ビザ申請に必要な提出書類一覧。

記載されている費用には、以下が含まれます。 $20,000 主要な仮想通貨メディアによる有料インタビュー枠について。

「これはジャーナリズムではない。それは市場であり、そこで信頼性が売買されているのだ。」

ビジネス対嘘

有料コンテンツを公開することは違法ではありません――それはビジネスです。しかし、それが 虚偽の主張を公表し、調査を誤った方向へ誘導し、広報活動を事実であるかのように装うこと、それが問題の一因となってしまう。

結論

PhishDestroyは、報酬を受け取らず、広告を掲載せず、利益も得ない独立したサイバーセキュリティ・イニシアチブです。事実は明らかです:

  • 150以上のMozilla拡張機能が、ナイジェリアのホスティングサービス上の単一のバックエンドにルーティングされています。
  • データはナイジェリアのTelegramアカウントに送信された。
  • 「ロシアの痕跡」という説はでっち上げである。
  • 有料メディアによる報道が、この捏造を真実のように見えるほどまで拡大させた。
  • サイバーセキュリティ企業でさえ、自社宣伝に費用を投じている。
「広告を売るのはビジネスだ。嘘を事実として売り込むことは、犯罪者を庇うことになる。そして、サイバーセキュリティの分野でさえ物語を売り込むようになれば、被害者――そして正義――が損をすることになる。」

免責事項

私たちは、いかなる個人、企業、メディアも非難しているわけではありません。すべての事実は公開情報であり、公的アーカイブ、スキャナー、報告書を通じて検証可能です。真の問題は: なぜそのような物語が操作され、誇張されるのでしょうか? 無名のセキュリティ企業が、真の黒幕から世間の注目をそらすような、不正確な大規模調査結果を公表したとき、誰が利益を得るのでしょうか?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

この調査を共有する

X / Twitter Telegram Reddit LinkedIn

関連する調査

TDSのケイタロウ:1,500枚のパネルが公開されたが、正当な用途はゼロ
調査
TDSのケイタロウ:1,500枚のパネルが公開されたが、正当な用途はゼロ
Steam版「BlockBlasters」マルウェア:プラットフォーム側の不手際が露呈
調査
Steam版「BlockBlasters」マルウェア:プラットフォーム側の不手際が露呈
詐欺師の正体:4つの詐欺バックエンドを徹底解剖
調査
詐欺師の正体:4つの詐欺バックエンドを徹底解剖
透明性に関するお知らせ。 PhishDestroyは、非営利の独立プロジェクトです。私たちの調査には、詐欺インフラやそれを可能にするサービスに対する固有の偏見が反映されている可能性があります。読者の皆様には、すべての情報を批判的かつ独自に評価していただくようお願いいたします。 当社の透明性に関する声明全文はこちら →