Bleeping Computerは11月21日(米国時間)、「Malware dev says they can revive expired Google auth cookies」において、情報窃取マルウェア「Lumma(別名:LummaC2)」の開発者が期限切れのGoogle Cookieを復元する新機能を宣伝したと報じた。この新機能によりGoogleアカウントを乗っ取ることができるという。
Googleのようなオンラインサービスにログインすると、通常はセッションCookieと呼ばれる認証情報がブラウザに一時的に保持される。このセッションCookieは、その後のアクセスで認証を要求せずにサービスを利用できるようにするためのもの。一般的にセッションCookieには、盗まれた場合の悪用を防止するために有効期限が設定されている。今回、Lummaの開発者はこのセッションCookieを復元し、有効期限が切れたあとでもGoogleアカウントに不正アクセスできると主張しているとみられている。
サイバーセキュリティ企業のHudson Rockは11月14日にLumma最新版の投稿を発見し、その中で「復元ファイルのキーを使用して破棄されたCookieを復元する機能(Google Cookieに限る)を追加した」と主張する内容を確認している。
この新機能はこれまでにGoogleやセキュリティ研究者により検証されていないため、正常に動作するかは明らかになっていない。しかしながら、ほかの情報窃取マルウェア「Rhadamanthys」も同様の機能を発表したことから、信憑性が高まったと評価されている。
この件について、Bleeping ComputerはGoogleに対して事実関係の確認を行っているが、これまでに回答は得られていない。興味深いことに、Bleeping ComputerがGoogleに確認を求めた数日後、Lummaの開発者はGoogleの新しい制限を回避するための追加の修正を行ったとするアップデートをリリースしている。
Bleeping Computerはこの新機能が宣言通りに動作するのであれば、Googleの利用者は自身のアカウントを保護するために、Cookieの窃取につながるマルウェアの感染を防止するしか防衛策はないとしている。このため、Googleのオンラインサービスを利用するユーザーには、ソフトウェアの更新、アンチウイルスソフトウェアの導入、不審なソフトウェアをダウンロードしないなどのマルウェア対策のベストプラクティスを実践することで自身のアカウントを防衛することが望まれている。