ChromeのABE保護を新手法で突破する「VoidStealer」が登場
セキュリティ研究機関のGen Digital(Norton・Avast・AVG・Aviraの親会社)は、情報窃取型マルウェア「VoidStealer」がGoogle ChromeのApplication-Bound Encryption(ABE)をこれまでにない手法で回避していることを報告した。
ABEとは何か
Googleは2024年6月リリースのChrome 127でABEを導入した。これはCookieや認証トークンなどの機密データを保護する仕組みで、マスターキーをディスク上で暗号化したまま保持し、通常のユーザーレベルのアクセスからは復号できないようにしている。復号にはSYSTEM権限で動作する「Google Chrome Elevation Service」による検証が必要だ。
しかしABEはこれまでも複数のインフォスティーラーやオープンソースツールによって回避されてきた歴史がある。Googleは都度修正を施してきたものの、新たな手法による回避が繰り返されている。
ハードウェアブレークポイントによる新たな攻撃手法
VoidStealerのアプローチが特異なのは、特権昇格もコードインジェクションも必要としない点だ。Gen Digitalの脅威研究者ヴォイチェフ・クレイサ氏によれば、本マルウェアは「野外で観測された中で初めて、ハードウェアブレークポイントを利用してブラウザのメモリから直接v20_master_keyを抽出するデバッガーベースのABE回避技術を採用したインフォスティーラー」だという。
具体的な手順は次のとおりだ。
- サスペンド状態の隠しブラウザプロセスを起動し、デバッガーとしてアタッチ
- 対象のDLL(
chrome.dllまたはmsedge.dll)のロードを待機 - DLL内の特定文字列と
LEA命令を走査し、ハードウェアブレークポイントを設置 - ブラウザ起動時にABE保護データが復号されるタイミングでブレークポイントが発火
ReadProcessMemoryでレジスタから平文のv20_master_keyを読み取り抽出
ブラウザ起動時は保護されたCookieを早期に読み込むためマスターキーの復号が強制的に発生する。VoidStealerはこの「一瞬だけ平文でメモリに存在する状態」を狙い撃ちにする。
オープンソースツール「ElevationKatz」との関係
Gen Digitalの分析では、この手法はChromeのCookieダンプツールセット「ChromeKatz」に含まれるオープンソースプロジェクト「ElevationKatz」をベースにしている可能性が高いとしている。ElevationKatzは1年以上前から公開されており、VoidStealerはそれを攻撃者向けに実装し直したとみられる。
MaaSとして拡散中
VoidStealerはMalware-as-a-Service(MaaS)として2025年12月中旬からダークウェブフォーラムで販売されており、バージョン2.0でこの新しいABE回避機能が追加された。
対策と今後の展望
BleepingComputerはGoogleにコメントを求めたが、本稿執筆時点では回答は得られていない。特権昇格不要・コードインジェクション不要という特性から、従来のエンドポイント検出との相性が悪く、検知が難しい攻撃手法といえる。ブラウザに保存された認証情報やCookieへの依存を減らし、ハードウェアセキュリティキーやパスキーの活用を検討することが望ましい。