Chromeの人気拡張機能に「不正なアフィリエイトを挿入するコード」が仕込まれていることが判明

Google製のウェブブラウザChromeは、拡張機能を追加することでYouTubeの字幕読み上げ機能やウェブページのオフライン保存機能などの便利機能を追加できます。しかし、大手セキュリティ企業マカフィーの研究者によって、合計140万回ダウンロードされた5種の拡張機能に「アフィリエイト収益を不正に得るためのコード」が含まれていたことが報告されました。報告された拡張機能のうち1種は既に入手不可となっていますが、残りの4種は依然としてGoogle公式ウェブストアから入手可能で、中には「Googleのおすすめラベル」が付与されたものも存在しています。

Malicious Cookie Stuffing Chrome Extensions with 1.4 Million Users | McAfee Blog
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/

Chrome extensions with 1.4 million installs steal browsing data
https://www.bleepingcomputer.com/news/security/chrome-extensions-with-14-million-installs-steal-browsing-data/

マカフィーの研究者が発見したコードは、「ユーザーのブラウジング履歴を監視して、オンラインショップへのアクセスを検知したらCookieを書き換えてリファラを偽装する」というものでした。各種オンラインショップには「オンラインショップへの導線となったウェブサイトに対して報酬を支払う」というシステムが存在しているのですが、問題のコードが挿入された拡張機能を用いた場合、各種オンラインショップは「攻撃者のウェブサイトを介してオンラインショップにアクセスした」と認識し、報酬が本来のウェブページ管理者ではなく攻撃者に支払われることとなります。

問題のコードが挿入されていたのは、以下の5個の拡張機能です。いずれも数万回ダウンロードされた人気拡張機能で、合計で140万回ダウンロードされていました。

・複数人でNetflixを同じタイミングで視聴できるようにする拡張機能「Netflix Party」(ダウンロード回数：80万回以上)
・複数人でNetflixを同じタイミングで視聴できるようにする拡張機能「Netflix Party 2」(ダウンロード回数：30万回以上)
・ウェブページのスクリーンショットを上から下まで丸ごと撮影できる拡張機能「Full Page Screenshot Capture」(ダウンロード回数：20万回以上)
・オンラインショップの価格追跡機能「FlipShope – Price Tracker Extension」(ダウンロード回数：8万回以上)
・オンラインショップの価格追跡機能「AutoBuy Flash Sales」(ダウンロード回数：8万回以上)

記事作成時点では、「Netflix Party」以外の拡張機能はGoogleの公式ウェブストアから入手可能な状態が続いています。また、「Full Page Screenshot Capture」にはGoogleの基準を満たしたことを示すラベル「おすすめ」も付与されています。

これらの拡張機能は、いずれも宣伝されている通りの機能を有しているとのこと。加えて、「インストール後15日間は不正な動作を実行しない」という脅威検知を回避するためのコードも確認されています。このため、ユーザーは悪意あるコードに気付くことなく拡張機能を使い続けてしまうとマカフィーは指摘しています。

上述の通り、問題の拡張機能の大部分は依然として入手可能な状態が続いており、Chromeからの自動削除は行われていません。このため、問題の拡張機能をインストール済みのユーザーは、手動でアンインストールする必要があります。拡張機能のアンインストール方法は以下の通り。

まず、Chromeの画面右上のパズルピースアイコンをクリックしてから、削除したい拡張機能の右側に配置されたメニューボタンをクリックします。

メニューが表示されたら「Chromeから削除」をクリック。

続いて「削除」をクリックすれば、拡張機能の削除は完了です。