ブラウザに拡張機能をインストールするだけで他人のアクセスを許可してしまう「Infatica」とは？

Google ChromeやFirefoxといった主要なブラウザはさまざまな機能を追加できる「拡張機能」に対応していますが、拡張機能がサイバー攻撃のリスクを生み出す可能性も存在します。セキュリティ関連の専門家のブライアン・クレブス氏が運営するセキュリティ情報サイトKrebsOnSecurityが、拡張機能にコードを組み込むことで、ユーザーのマシンをプロキシとして使用する「Infatica」の手口について解説しています。

Is Your Browser Extension a Botnet Backdoor? — Krebs on Security
https://krebsonsecurity.com/2021/03/is-your-browser-extension-a-botnet-backdoor/

ブラウザの拡張機能は数多くリリースされていますが、KrebsOnSecurityによると、拡張機能の開発者が収益を獲得する方法は限られているとのこと。さらに2020年9月からはGoogleがChromeウェブストアでの有料拡張機能の公開を段階的に廃止しており、開発者の収益化はますます困難になっているというのが現状です。開発者が対価を得るために拡張機能を売却した結果、売却先の企業によって拡張機能にマルウェアが仕込まれるケースも発生しています。

Chrome向け拡張機能「The Great Suspender」がマルウェア化しているという指摘 - GIGAZINE

Infaticaは、拡張機能のユーザー数に応じて開発者に対価を支払う代わりに、拡張機能にInfaticaが提供するコードの挿入を求めるサービス。このコードが組み込まれた拡張機能は、Infaticaが提供するプロキシサービスの一部として動作するとのこと。そのため、Infaticaのサービスのユーザーは、コードを組み込んだ拡張機能がインストールされたマシンを介して、各ウェブサイトにアクセスすることが可能になります。

KrebsOnSecurityが調査したところ、少なくとも30の拡張機能がInfaticaのコードを導入していることが判明したとのこと。これらの拡張機能の中には、140万人以上のアクティブユーザーを獲得しているダウンロード補助拡張機能「Video Downloader PLUS」も含まれていました。

40万人以上のユーザーを持つ拡張機能「ModHeader」の開発者であるハオ・グエン氏は、「私はModHeaderの開発に10年以上の月日を費やしましたが、収益化することができませんでした。そこで、Infaticaのコードを拡張機能に導入し、Infaticaからの支払いを得る事にしました。しかし、ユーザーからは大きな反発がありました。ユーザーは、自らのマシンがポルノサイトのような好ましくないサイトにアクセスするためのプロキシとして使われることを好ましく思わなかったのです」と、Infaticaを導入した経緯とそれに対するユーザーからの反発について語りました。

また、グエン氏が開発したGoogle Chromeの拡張機能に関する情報を集約するウェブサービス「ChromeStats」によると、Chromeウェブストアで公開されている拡張機能の53.21％を占める10万4133件の拡張機能は、2年以上アップデートされていないとのこと。こうした状況について、グエン氏は「拡張機能の開発を維持し、収益化することは非常に困難です。そのため、開発者の中には拡張機能を売却する人もいます」と述べています。

KrebsOnSecurityは、「拡張機能は魅力的ですが、多くのアクセス許可を必要とします。そのため、開発者によって悪意ある変更が加えられると、大きなリスクが生じます」「拡張機能をインストールする際は、拡張機能が求めるアクセス許可や、開発者の信頼性、拡張機能の配布場所の信頼性を確認する必要があります」と述べ、不必要な拡張機能を安易にインストールしないように呼びかけています。