Workday/NetSuite偽装の悪性Chrome拡張、認証クッキー窃取とIR妨害でアカウント乗っ取りが現実化です

今日の深掘りポイント

• ブラウザ拡張は「MFA後の世界」を狙う——パスワードではなくセッショントークンを奪うことで、多要素認証をバイパスします。
• DOM改ざんで管理・セキュリティ設定ページを“見えなく”し、被害者の自己復旧と初動対応を遅らせます。
• Chromeウェブストアから削除済みでも、サードパーティ配布やサイドロードで拡散が続くのが現実です。拡張ガバナンスの未整備が直撃します。
• 狙いはHRとERPの“実利”——給与・支払・従業員個人情報・財務データへの即時アクセスと金銭化です。
• 対応の要諦は、端末側の拡張制御とサーバ側のセッション無効化・再認証強制を同時に走らせることです。

はじめに

SaaSを日常の“業務OS”として使う時代に、ブラウザは実質のエンドポイントになりました。拡張機能は業務を便利にする一方で、アプリ本体よりも高い権限を得やすい構造的な弱点を抱えています。今回、WorkdayやNetSuiteを偽装した悪性Chrome拡張が、認証クッキーを盗み取り、管理ページをDOMで隠すことで、MFAやユーザーの自己防衛をすり抜け、完全なアカウント乗っ取りを実現した事例が確認されています。基幹SaaSの信頼の上に成り立つ業務プロセスが、ブラウザの小さなコード片に揺さぶられている——それがこのニュースの本質です。

深掘り詳細

事実関係（確認されたポイント）

• セキュリティ研究者は、WorkdayやNetSuiteを偽装する5つの悪性Chrome拡張を確認しています。代表例の「DataByCloud Access」は、WorkdayやNetSuiteのドメインに対しクッキー管理やスクリプト実行の権限を要求し、取得した認証クッキーを攻撃者サーバへ送信します。送信は一定間隔（60秒ごと）で繰り返す設計とされています。
• 拡張はDOM操作で管理・セキュリティ設定ページへのアクセスを妨害し、ユーザーの対応や管理者の初動を遅らせます。結果として、セッションハイジャックからフルアカウント乗っ取りに至ります。
• 問題の拡張群はChromeウェブストアから削除済みですが、サードパーティのダウンロードサイトでの入手が継続している事実が報じられています。
• 出所：The Hacker Newsの報道がこれらのポイントを整理しています（後掲の参考情報を参照ください）。

出典: The Hacker News: Five Malicious Chrome Extensions Masquerading as Workday and NetSuite Target Enterprise Accounts

インサイト（構造的な弱点と現場への含意）

• ブラウザ拡張はアプリより上位の視座に立てます。HttpOnlyやSecure属性で保護されたクッキーでも、拡張のcookies/host_permissionsがあればAPI経由で読み出しが可能です。つまり、アプリ側の堅牢化だけではカバーしきれない“ブラウザ権限面”のリスクが顕在化しています。
• MFAは「ログイン時」の防御であり、「ログイン後のセッション」を盗まれると迂回されます。セッション継続時間が長いほど、攻撃者の動く時間も長くなります。
• DOMベースのIR妨害は、ユーザーの“視界”だけを奪い、実際の設定は残っているため、サーバ側からの強制セッション失効や一括ログアウトを準備していない組織ほど復旧がもたつきます。
• Chromeウェブストアの審査は万能ではありません。削除後もサイドロードやミラーサイト配布が続く現実を前提に、企業として拡張のインベントリ・評価・許可制を“自前”で回すしかないフェーズに入っています。
• HR/ERPは金銭化への距離が短い領域です。給与・ベンダー支払・税務・従業員個人情報に直結するため、BEC/送金詐欺や恐喝型リークと自然に接続します。技術リスクがそのまま事業リスクに重なる典型領域です。
• 「Manifest V3になったから安全」の思い込みは危険です。バックグラウンドページの廃止やAPI変更はあっても、コンテントスクリプト＋cookies権限の組み合わせで今回のような窃取・送信・DOM妨害は依然として可能です。

脅威シナリオと影響

以下は、現時点の情報に基づく仮説シナリオです。各段階をMITRE ATT&CKに沿って整理します（テクニックは代表例です）。

• シナリオ1：給与・口座変更の乗っ取り（Workday）

  • 侵入手口（仮説）：スピアフィッシングで「便利拡張」を案内してインストールさせる（T1566.002 Spearphishing Link）。または業務支援ツールを装った配布サイトからのサイドロード。
  • 永続化・権限確保：悪性ブラウザ拡張の導入（T1176 Browser Extensions）。
  • 資格情報窃取：Workdayドメインのセッションクッキー窃取（T1539 Steal Web Session Cookie）。
  • 防御回避：DOM操作でセキュリティ/管理ページを不可視化（T1562.001 Impair Defenses）。
  • C2/流出：HTTP(S)で定期送信（T1071.001 Web Protocols、T1041 Exfiltration Over C2 Channel）。
  • 濫用：窃取クッキーを用いたアカウントなりすまし（T1550.004 Use of Web Session Cookie）→給与口座の変更、税務書類や個人情報の一括取得。
  • 影響：不正送金、個人情報漏えい、規制対応コスト。

• シナリオ2：ベンダー支払詐欺（NetSuite）

  • 同上の侵入～窃取経路。
  • 濫用：ベンダー銀行口座のすり替え、架空ベンダー作成、承認ワークフローの悪用。
  • 影響：直接的な資金流出、監査不備の噴出、取引先関係の毀損。

• シナリオ3：IR妨害と持続的占有

  • 防御回避：セキュリティ設定やAPIトークン管理ページをDOMで隠して自己復旧を阻害（T1562.001）。
  • 発覚遅延：ユーザーが「設定が見えない」ためヘルプデスクを経由、サーバ側での強制ログアウトやセッション失効手順が未整備だと、攻撃者の占有時間が延びます。
  • 影響：ログローテーションをまたぐ滞在、改ざんの痕跡隠蔽、被害拡大。

総合的にみて、このインシデントは即応性と実装可能性の高い対策が問われるタイプです。攻撃の成立確度は高い一方、ブラウザ拡張の資産管理・ブロック運用、サーバ側のセッション失効/再認証を適切に組み合わせれば、ビジネス影響を有意に抑えられます。逆に、拡張のフリーパス運用と長寿命セッションが組み合わさると、被害は深刻化しやすいです。

セキュリティ担当者のアクション

優先度順・時間軸で整理します。併せて、“端末側で拡張を止める”と“サーバ側でセッションを潰す”を同時に回すことが肝要です。

• 0〜24時間（インシデント前提の即応）

  • 拡張の棚卸と隔離
    • 端末管理からChrome拡張インベントリを即時抽出し、当該拡張群（例：DataByCloud Access）と未知の高権限拡張を特定・隔離します。
    • Google管理コンソール/OS管理で拡張の強制削除とインストールブロックを適用します（Allowlist方式への一時スイッチも選択肢です）。
  • セッションの殺し込み
    • Workday/NetSuiteで全社一斉のセッション失効・再認証を強制します。SSO/IdP側からのグローバルサインアウトも併用します。
    • セッション有効期限とRemember-Deviceを一時的に短縮/無効化します。
  • 金銭系の暫定ガード
    • 給与口座・ベンダー口座の変更、振込先追加、与信枠変更の二重承認とアウト・オブ・バンド検証を直ちに義務化します。変更差分を遡及レビューします。
  • ハンティング観点（SaaS/ネットワーク）
    • 直近のログインイベントにおける同一アカウントの地理/ASN不一致、短時間での複数IP/UA切替、深夜帯の管理操作などを相関します。
    • Workday/NetSuiteの大量エクスポート、口座情報更新、APIトークン再発行など高リスク操作の直近実行者を抽出します。

• 24時間〜1週間（恒久化に向けた整備）

  • 拡張ガバナンスの制度化
    • ExtensionInstallBlocklistをデフォルト“全ブロック”、例外Allowlist承認制に切替えます。Developer mode/サイドロードを無効化します。
    • 審査基準（必要権限、更新頻度、配布元、ソース審査可否、SBOMの有無）を明文化し、四半期ごとに棚卸します。
  • ブラウザとSaaSの合わせ技で抑止
    • クリティカルSaaS（HR/ERP/財務）は「拡張無効プロファイル」やブラウザアイソレーション下でのみアクセス可能とします。
    • SaaS側は高リスク操作（支払・口座・権限変更）に都度のステップアップ認証を必須化します。
  • ログと可視化
    • Chrome拡張のインベントリ/変更イベントをSIEMに連携し、host_permissions=.workday./*.netsuite.*かつcookies/scripting権限の組み合わせにアラートを設定します。
    • Workday/NetSuiteの監査ログ保持期間を延長し、変更イベントの定期レポートを経営管理（財務・人事）へ共有します。

• 1〜4週間（改善とレジリエンス）

  • セッション設計の見直し
    • セッション寿命の短縮、再認証トリガ（地理/ASN/デバイス指紋/高額操作）のチューニングを行います。可能ならデバイス紐付け型のセッション保護技術の採用を検討します。
  • プロセス面の“二重化”
    • 金銭・権限周りの重要操作に、技術的制御とは別に二人承認と発見的統制（変更レポートの別系統配信）を組み合わせます。
  • 教育と演習
    • 「拡張＝便利」の固定観念を崩す啓発（権限確認、出所確認、勝手なインストール禁止）を実施します。
    • ブラウザ拡張インシデントをテーマに、IR卓上演習をセキュリティ/IT/人事/財務の合同で実施します。

最後に、今回のニュースは「SaaSは安全か」ではなく「ブラウザという窓の鍵を誰が管理するのか」という問いを突きつけています。拡張の自由は生産性の源泉でもありますが、基幹SaaSに触れるブラウザは“特別扱い”が必要です。拡張を敵視するのではなく、許可・可視化・最小権限・強制削除の四点セットで“運用として”制御することが、現実的で持続可能な解です。

参考情報

• The Hacker News: Five Malicious Chrome Extensions Masquerading as Workday and NetSuite Target Enterprise Accounts（報道）: https://thehackernews.com/2026/01/five-malicious-chrome-extensions.html

本稿のシナリオやATT&CK整理には仮説が含まれます。新たな技術詳細やIOCが公開された場合は、速やかに検知・封じ込め手順をアップデートしてください。読者のみなさんの現場での工夫や気づきも、ぜひ共有いただけるとうれしいです。セキュリティは、いつだってチームスポーツです。