2000件以上のGoogle Chrome向け拡張機能がセキュリティを低下させているという指摘

「Chromeウェブストア」で配布されている拡張機能の中には、広告ブロッカーを装ったマルウェアや、個人情報を盗み出す拡張機能などの不正な拡張機能が多く含まれていることが報じられてきました。新たに、セキュリティに関する研究団体CISPAの調査によって、2000件を超えるGoogle Chrome向け拡張機能にセキュリティヘッダーを改ざんする機能が搭載されていることが判明しました。

madweb21-paper16-pre_print_version.pdf
(PDFリンク)https://madweb.work/preprints/madweb21-paper16-pre_print_version.pdf

Thousands of Chrome extensions are tampering with security headers | The Record by Recorded Future
https://therecord.media/thousands-of-chrome-extensions-are-tampering-with-security-headers/

ウェブサイトにアクセスする際、ウェブブラウザはHTTPSでの通信を要求するHTTP Strict Transport Security(HSTS)や、外部からの攻撃を軽減するコンテンツセキュリティポリシー(CSP)などのセキュリティヘッダーをサーバーから受け取っています。これらのセキュリティヘッダーは、数多くのウェブサイトに採用されていますが、攻撃者の標的になることもあります。そこで、研究チームは「HSTS」「CSP」「X-Frame-Options」「X-Content-Type-Options」の4種類のセキュリティヘッダーを対象に、Google Chromeの拡張機能による影響の有無を調査しました。

調査の結果、Chromeウェブストアで配布されている18万6434件の拡張機能のうち、2485件の拡張機能が少なくとも1種類のセキュリティヘッダーに変更を加えていることが判明。さらに、553件の拡張機能では、4種類全てのセキュリティヘッダーに変更を加えていることが明らかになりました。

変更を受けているセキュリティヘッダーの内訳はこんな感じ。最も多くの変更を加えられているセキュリティヘッダーはCSPで、その他のセキュリティヘッダーも1000以上の拡張機能から変更を加えられていることが分かります。

研究チームによると、ほとんどの拡張機能によるセキュリティヘッダーの変更はユーザーの体験向上を目的としたもので、悪意のあるものではなかったとのこと。しかし、研究チームは「セキュリティヘッダーに変更を加えると、ユーザーを攻撃の危険にさらす可能性があります」と述べ、セキュリティヘッダーを改ざんすることに異を唱えています。