セキュリティ

Chromeの広告ブロッカー拡張機能を装ったマルウェアの存在が判明、すでに2000万回以上ダウンロード済


Googleのウェブブラウザ「Chrome」の拡張機能としてリリースされている広告ブロック機能の中に、ひっそりと不正なマルウェアが忍び込まされているケースがあることが判明しました。この事実が明らかになった広告ブロッカー「AdRemover extension for Chrome」(以下「AdRemover」)は、これまでに2000万回以上もダウンロードされています。

Over 20,000,000 of Chrome Users are Victims of Fake Ad Blockers
https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers/

Millions of Chrome Users Have Installed Malware Posing as Ad Blockers - Motherboard
https://motherboard.vice.com/en_us/article/59jakq/chrome-ad-blockers-malware

この事実を発見したのは、広告ブロッカー「AdGuard」開発元の共同設立者であるアンドレイ・メシュコフ氏。GoogleのChromeウェブストアで配布されている広告ブロッカーの中に人気広告ブロッカーのコピー品がいくつもある状況に関心を抱いたメシュコフ氏は、そのうちの一つを実際にダウンロードして、中身のコードを詳細に調査したそうです。

すると、本来のアドブロッカーでは考えにくい奇妙な動作をしていることをメシュコフ氏は発見。「基本的に私はアドブロッカーをダウンロードし、どのようなリクエストを作っているのかをチェックしたのですが、いくつかの奇妙なリクエストが私の関心を引きました」と語ります。

メシュコフ氏が発見したのは、AdRemoverはリモートコマンドサーバーからロードされた画像(.png)の中に隠されたコードによって、拡張機能のアップデートを行うことなく当初とは別の機能を実行することが可能になるという事実でした。この事実だけでもAdremoverはGoogleの規約に反している状態であり、メシュコフ氏はAdGuardのブログにその例を掲載。その後、AdRemoverはChromeウェブストアから削除されており、Googleも削除した事実を認めています。


メシュコフ氏は、AdRemoverが実際にどのようなデータを集めていたのかを突き止めることはできなかったとのことですが、このような形でリモートサーバーへのリンクを持たせるという方法は、ブラウザの動作をさまざまな方法で変化させてしまうことにつながるため危険であると指摘しています。プライバシーに重点を置くブラウザ「Brave」の開発者であるヤン・ズー氏は、例えば自分のPCが攻撃の踏み台にされる「中間者攻撃」に巻き込まれることにつながる可能性などがあると指摘。しかし一方で、ブラウザに暗号化された状態で保存されているパスワードなど重要なデータにアクセスする権限は持ってないとも指摘しています。

AdRemoverはすでにChromeウェブストアから削除された状態となっていますが、メシュコフ氏によるとまだまだ同様の拡張機能が大量に提供されている状態にあるとみられるとのこと。メシュコフ氏は、怪しい拡張機能かどうかを見抜くための方法として「開発元のウェブサイトを訪れること」を推奨しています。もし、正規の拡張機能を提供している開発元であれば、インストールするためのリンクがサイトに貼られているはずなので、安心できるかどうかを判断できる材料になり得るとのこと。

そしてもちろん、「自分はどのような機能をインストールしているのか」を正確に把握しておくことも重要であると記しています。

・関連記事
Chromeそっくりのデザインと挙動でユーザーが気づかないうちにブラウザを置き換える「eFast Browser」 - GIGAZINE

Chromeの拡張機能Window Resizerがマルウェアを含んでいたことが発覚 - GIGAZINE

PCを安全に使用するためのセキュリティソフトが重大な脆弱性を抱えていたことをGoogleが発見 - GIGAZINE

Google Chromeの拡張機能を介してマルウェアを配布する業者が増加中 - GIGAZINE

広告ブロック回避サービスがハッカーに乗っ取られてマルウェア配信 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logx_tm