500個ものChrome拡張機能が個人情報を盗んでいたことが判明、被害者は170万人を超える

「Chromeウェブストア」から拡張機能をインストールすると、ブラウジングを快適にしてくれる機能を簡単にChromeに導入可能ですが、中には便利なツールを装って不正な動作をする拡張機能も存在しており、過去には200個もの拡張機能が一斉に削除されたこともあります。今回新たに、合計500個以上のChrome拡張機能が不正に個人情報を入手していたことが、セキュリティ研究者らの調べにより発覚しました。

Security researchers partner with Chrome to take down browser extension fraud network affecting millions of users. | Duo Security
https://duo.com/labs/research/crxcavator-malvertising-2020

500 Chrome Extensions Caught Stealing Private Data of 1.7 Million Users
https://thehackernews.com/2020/02/chrome-extension-malware.html

500 Malicious Chrome Extensions Impact Millions of Users | Threatpost
https://threatpost.com/500-malicious-chrome-extensions-millions/152918/

セキュリティ企業Duo Securityに勤める研究者ジャミーラ・カヤ氏とエンジニアのジェイコブ・リッカード氏は2020年2月13日に、約500個の不正なChrome拡張機能が特定され、Chromeウェブストアから削除されたことを発表しました。発表によると、不正なChrome拡張機能をブラウザにインストールした被害者の数は、170万人を超えるとのことです。

カヤ氏は、自社製のChrome拡張機能の安全評価ツール「CRXcavator.io」を使用して、70個ものChrome拡張機能がひそかにサイバー攻撃の踏み台となるPCに命令を送る「コマンド＆コントロールサーバー(C＆Cサーバー)」にアクセスしていることを発見。カヤ氏がこの情報をGoogleと共有したところ、Googleは同様の拡張機能がさらに430個もChromeウェブストア上に存在していることを突き止めました。カヤ氏とGoogleにより不正な挙動をしていることが確認された合計500個の拡張機能は、速やかにChromeウェブストアから削除されたとのことです。

今回発見された不正な拡張機能のソースコードはほぼ全て同じでしたが、名前を変えて登録されていたため、Chromeウェブストアの検出メカニズムによる探知を免れていました。カヤ氏によると、問題の拡張機能の作者は少なくとも2019年1月から活動しており、2019年3月から6月にかけて特に活発な動きを見せているとのことです。

また、ソースコードからは2017年6月23日の日付も発見されていることから、犯人の活動はかなり長期的なものである可能性も示唆されています。

カヤ氏らが発見した不正な拡張機能の手口は、拡張機能の使用中に表示される広告を装ってC＆Cサーバーと通信し、個人情報を盗み出すというもの。拡張機能に表示される広告の多くはDELLや家電量販店のBest Buy、百貨店のMacy'sなどが出している合法的なものでしたが、中にはマルウェアやフィッシング詐欺にリダイレクトする悪質な広告も紛れ込んでいました。

こうした不正な目的で表示される悪質な広告は、専門家から「マルバタイジング」と呼ばれており、近年増加の一途をたどっています。カヤ氏は「この手法は、長年にわたり猛威を振るっているにかかわらず検出が非常に困難です。そのため、ユーザーを追跡するような広告が存在する限り、脅威を拡散させる手法としてはびこり続けるでしょう」と述べました。

Googleは、こうした悪質な拡張機能のまん延に対処するため、2019年10月からChromeウェブストアのルールを改訂し、プライバシーポリシーを持たない拡張機能を禁止にしたほか、開発者に対し拡張機能が要求する権限を必要最小限にするよう求めました。また、ルールに違反した拡張機能を発見した人に報奨金を支払う報酬プログラムを実施し、監視体制を強化しています。

Googleの広報担当者は、「不正の発見に努めている研究コミュニティの働きに感謝します。ポリシーに違反している拡張機能を発見し次第速やかに対応し、事例をトレーニング用の資料にして自動・手動両方による解析の改善に役立てていきます」とコメントしました。

また、マルバタイジングが潜んでいる拡張機能から身を守る方法として、カヤ氏は「ブラウザにインストールした拡張機能を定期的に見直して不要なものを削除し、不審なものを見つけたら通報することをおすすめします。拡張機能によく注意を払い、簡単にアクセス可能な拡張機能に関する情報をチェックするだけでも、安全性を高めるのに効果的です」と話しました。