8000万人以上のChromeユーザーが検索結果に無断で広告を仕込む有害な拡張機能を使っている

by Tsahi Levent-Levi

IT系セキュリティ企業AdGuardが、偽の広告ブロッカーなどの有害なChrome拡張機能を使っているユーザー数が8000万人を超えると報告しました。

80M People Scammed by Chrome Fake Ad Blockers: the Same Old Song
https://adguard.com/en/blog/fake-ad-blockers-part-3.html

Cluster of 295 Chrome extensions caught hijacking Google and Bing search results | ZDNet
https://www.zdnet.com/article/cluster-of-295-chrome-extensions-caught-hijacking-google-and-bing-search-results/

AdGuardが発見した有害なChrome拡張機能は、GoogleとBingの検索結果に無断で広告を仕込むというもの。これらのChrome拡張機能を有効化して検索結果のページを開くと、「lh3.googleusrcontent.com」という、一見するとGoogleに関連しているように見えるドメインから画像を読み込みます。読み込まれた画像にはコード化された広告が埋め込まれており、この広告が検索結果のページに表示されるとのこと。

AdGuardはこの種の有害な拡張機能を295個確認しており、全ユーザー数は8000万人以上とのこと。中でも、「Ad-block for YouTube — Youtube Ad-blocker Pro」「Adblocker for YouTube — Youtube Adblocker」などの偽の広告ブロッカーは、それぞれ200万回ダウンロード数に達しているそうです。

AdGuardが報告した295個の有害な拡張機能は以下のリストから確認できます。

The list of extensions with fly-analytics script · GitHub
https://gist.github.com/ameshkov/238e45af398dfbae242fd32fe4894516

なお、これらの拡張機能は大半が「Chromeの壁紙を変更する」という拡張機能とのこと。AdGuardが調査結果を公開したことによって、295個の有害な拡張機能はChrome ウェブストアから順次消去されています。

また、AdGuardは上記の検索結果に広告を無断で仕込む有害な拡張機能とはまた別種の、「Cookieスタッフィング」と呼ばれる詐欺を実行する拡張機能も報告しています。Cookieスタッフィング拡張機能は、コマンドサーバーから命令を送信することで、特定のアフィリエイトリンクを読み込ませるのと同じ働きをするとのこと。例えば、この拡張機能を有効化してAmazon.comにアクセスして商品を購入した場合、アフィリエイトCookieが自動で読み込まれるため、手数料の一部が攻撃者に支払われてしまうそうです。

Cookieスタッフィング拡張機能は「uBlocker — #1 Adblock Tool for Chrome」「Video Downloader professional」「Dark Theme for Youtube, FB, Chrome」「AdBlock — Stop Ad on every Site」「2048 Game」「Music Saver」の6個で、AdGuardが調査した段階ではこれら6つの拡張機能の合計ユーザー数は150万人以上でした。なお、これらの拡張機能はAdGuardによる報告を受けて、Chrome ウェブストアから消去されています。

以上の有害な拡張機能に加えて、AdGuardはダウンロード数の偽装を行っているスパムアプリをいくつか報告した上で、「GoogleはChrome ウェブストアの管理と安全性の維持について失敗している」とコメント。ユーザーに対して、「ブラウザ拡張機能をインストールする前に、その拡張機能が本当に必要なのかを考える」「信頼できる開発者の拡張機能だけをインストールする」「悪意のある拡張機能のほとんどに優れたレビューがあるため、ユーザーレビューを信用しない」「Chrome ウェブストアの内部検索を利用せずに、信頼できるウェブサイトのリンクをたどる」といったアドバイスをしています。