Chrome拡張機能に「不正なソフト」が急増している──安易なインストールに「データ漏洩」の危機

サードパーティーのアプリはもちろん、「Google Play」の公式ストアですら油断はできないことはわかっている。12件しかレヴューのないような懐中電灯アプリには、マルウェアが仕掛けられているかもしれない時代だ。

そして、いかなるダウンロードにも非常に慎重になる習慣は、スマートフォン以外にも適用されるべきだ。つまり、パソコンで使っている「Chrome」ブラウザーの拡張機能にも目を光らせる必要がある。

便利な拡張機能を使えば、Evernoteやパスワード管理といったサーヴィスにスムーズにアクセスしたり、ワンクリックで「Bitmoji」を入力したりできる。しかしAndroidのアプリと同様に、「Chrome ウェブストア」からインストールした拡張機能でも、マルウェアやそのほかの問題が隠されている可能性がある。

グーグルによると、有害な拡張機能のインストールは過去2年半で約70パーセント減少したという。だが、最近行われた一連の調査を見る限りでは、問題は解決からは程遠い状態にあり、ユーザーはリスクにさらされたままだ。

セキュリティー企業Icebrgの最高経営責任者（CEO）のウィリアム・ピータロイは、「拡張機能の犯罪への利用が増えています」と指摘する。「犯罪が増加しているということは、これがわたしたちが注意を払うべきものであり、ユーザーもいま以上に気をつけるべきものであるという基準を完全に満たしています」

Chromeが主要なターゲットに

ほかのブラウザーも似たような問題を抱えるが、Chromeの市場シェアは6割近くあり、狙えば被害者の数を最大限に増やすことができる。このためChromeはクラッカーたちの主要なターゲットになっている。

このためIcebrgは最近、Chrome ウェブストアで提供される拡張機能で悪意のあるもの4件について、注意を促した。これらの拡張機能のダウンロード数は、計50万回以上だ。

どれも「Stickies」「Lite Bookmark」といった名前でごく普通のユーティリティソフトウェアを装ってはいるが、実際にはクリック詐欺の一部で、クラッカーたちの金稼ぎに貢献している可能性がある。さらに、ユーザーデータなどの情報にアクセスし、利用者の行動を追跡できるよう許可を求めていたという。Icebrgの指摘を受け、グーグルはこれら4件の拡張機能をストアから削除した。

グーグルのChrome関連のプロダクトを担当するジェームス・ワグナーは、「拡張機能のプラットフォームの提供を始めてからこれまで、システムをマルウェアと不正から守る努力を続けてきました」と話す。「拡張機能の不審な振る舞いを発見するために機械学習を利用しています。また不正な配布方法への対処には特に力を入れてきました」

具体的には、特定の拡張機能をインストールするよう求められるウェブサイトを見つけ、これをブロックする取り組みを進めている。こうしたサイトでは多くの場合、ポップアップがいくつも現れ、ユーザーが間違って何かをインストールしてしまうことがあるという。

ストアに潜り込んだ不正ソフト

しかしこうした努力にもかかわらず、悪意のある拡張機能の広告はいたるところに存在する。問題のひとつは、Chromeそのものへの信頼だ。

ユーザーがChromeに拡張機能のような特定のコードを実行する許可を与えると、OSやセキュリティーソフトなどは通常それを受け入れる。そして「Microsoft Office 365」や「G Suite」などソフトウェアやサーヴィスのクラウド化が進み、ブラウザーの利用頻度が高まるにつれ、問題のある拡張機能が不正利用できる可能性のあるデータやネットワークアクセスが増えることになる。

フィッシングやそのほかの不正なサイトを通じた配布に加え、クラッカーたちは悪意のある拡張機能をChromeウェブストアに潜り込ませる、そしてユーザーがそれをダウンロードしたあとに遠隔操作し、不正な機能を有効化したり付け加えたりする技術を磨いている。

グーグルは昨年10月、広告をブロックする拡張機能「AdBlock Plus」の偽物3件を削除したが、うち1件は4万回近くダウンロードされていた。ブラジルのセキュリティー企業Morphus Labsは同月、WhatsAppのユーザーを標的にしたフィッシング詐欺の拡張機能を発見した。

「Catch-All」と呼ばれる問題の拡張機能はAdobe Acrobatのインストーラーを装い、インストールされるとChromeでのブラウジング中にユーザーが入力したデータは、ユーザー名やパスワードを含めすべてが読み取られてしまう。12月には、クラウド型セキュリティー製品を手掛けるZscalerのチームが、ブラジル銀行のネットバンキングにログインしたユーザーからログイン証明やクッキーなどのデータを盗み出す拡張機能を見つけた。

今年に入ってからは、Malwarebytesが1月に「Tiempo en colombia en vivo」と呼ばれる拡張機能について注意を促している。この拡張機能はChrome版とFirefox版があり、ユーザーが安全性の低いサイトを訪れると強制的にインストールされ、アンインストールは難しい。Malwarebytesのピーター・アーンツは、この拡張機能はコードがかなり複雑なため、目的やどのように動作するのか完全に調べることはできなかったと話している。

安易なダウンロードが被害を拡大

クラッカーたちが拡張機能の真の目的を隠す努力を続けているということは、一般的に被害の拡大を意味する。難解なコードを使ったり不正な動作の起動を遅らせたりといったテクニックは、グーグルやアップルの公式アプリストアに不正なソフトウェアを密かに潜り込ませるために使われる手法と同じだ。

侵入実験とマルウェア分析の専門家でRendition Infosecの創業者でもあるジェイク・ウィリアムズは、「被害は非常に大きいと考えています」と話す。「クラッカーたちにとって、拡張機能の公開後にその挙動を大きく変えるなど朝飯前です」

Icebrgの研究チームも感染規模について懸念を示している。Chromeのセキュリティーアップデートがうまく機能している一方で、クラッカーたちはこれを破るための新しい方策を練っており、次世代の不正な拡張機能は阻止が難しくなるかもしれない。

Icebrgのピータロイは「わたしたちの調査で明らかになったのは、こうした拡張機能はさまざまな企業のサイトで検知されずアクティヴなままだったという事実です」と話す。「不正な拡張機能は、まずグーグルのセキュリティーをすり抜けるのに成功しています。そしてインストールされてしまえばソフトウェアレヴェル、つまりChromeブラウザー内で実行されますから、ほかの多くのセキュリティー対策も突破してしまうのです」

不正な拡張機能から身を守るために必要不可欠なのは、まずダウンロードするものは慎重に選び、Chromeの公式ストアでも開発者から直接入手する場合でも、信頼できるソースから入手した拡張機能だけを使うことだ。またインストールで何かの許可を求められたら、その内容をきちんとチェックして、問題になるようなものが含まれていないか確かめることも重要だ。

例えば、電卓ソフトウェアがウェブカムへのアクセスを求めてきたら何かがおかしいと思って間違いない。また拡張機能の管理設定からインストールされている機能を定期的に確認することで、覚えのないものが忍び込んでいるのを防ぐことができる。

グーグルによると、Chrome拡張機能の利用者は拡大の一途をたどっている。拡張機能の便利さを考えれば当然だが、天気予報や絵文字の拡張機能すべてをダウンロードするようなことはしないように。そこにはあなたが考えている以上の危険があるのだ。

TEXT BY LILY HAY NEWMAN