Malicious Chrome extensions with 75M installs removed from Web Store

Google は、検索結果を改ざんし、スパムや不要な広告をプッシュする可能性のある 32 個の悪意のある拡張機能を Chrome ウェブストアから削除しました。合計すると、ダウンロード数は 7,500 万件になります。

この拡張機能には、ペイロードを配信するために難読化されたコードに含まれる悪意のある動作をユーザーが気づかないようにする正当な機能が備わっていました。

サイバーセキュリティ研究者の Wladimir Palant 氏は、Chrome Web Store から入手可能な PDF Toolbox 拡張機能 (200 万ダウンロード) を分析し、正規の拡張機能 API ラッパーを装ったコードが含まれていることを発見しました。

研究者は5月中旬の記事で、このコードにより「serasearchtop[.]com」ドメインがユーザーが訪れたWebサイトに任意のJavaScriptコードを挿入できるようになったと説明している。

悪用の可能性は、Web ページへの広告の挿入から機密情報の窃取まで多岐にわたります。ただし、Palant は悪意のあるアクティビティを観察しなかったため、コードの目的は不明のままでした。

研究者はまた、コードが拡張機能のインストール後 24 時間後にアクティブになるように設定されていたことにも気づきました。これは通常、悪意のある意図と関連付けられる動作です。

数日前、パラント氏はこの事件に関する続報を公開し、合計ダウンロード数が5,500万件に上る別の18のChrome拡張機能にも同じ不審なコードを発見したと警告した。例としては次のようなものがあります。

  • Youtube の自動スキップ – 900 万人のアクティブ ユーザー
  • Soundboost – 690 万人のアクティブ ユーザー
  • Crystal 広告ブロック – 680 万人のアクティブ ユーザー
  • 活発な VPN – 560 万人のアクティブ ユーザー
  • クリップボード ヘルパー – 350 万人のアクティブ ユーザー
  • Maxi Refresher – 350 万人のアクティブ ユーザー

Palant が 2 番目の投稿を公開した時点では、すべての拡張機能はまだ Chrome ウェブストアで入手できました。

悪意のある拡張機能の中で最も人気のあるもの
最も人気のある悪意のある拡張機能(Avast)

Palant 氏は調査を続け、コードの 2 つの亜種を発見しました。1 つは Mozilla の WebExtension ブラウザ API Polyfill を装ったもの、もう 1 つは Day.js ライブラリを装ったものです。

ただし、どちらのバージョンも、serasearchtop[.]com を含む同じ任意の JS コード挿入メカニズムを備えていました。

研究者は、明らかな悪意のある活動は観察しませんでしたが、拡張機能がリダイレクトや検索結果のハイジャックを実行していることを示すユーザー レポートやレビューが Web ストアに多数あることを指摘しました。

彼は不審な拡張機能を Google に報告しようとしたにもかかわらず、ユーザーは引き続き Chrom Web ストアからそれらの拡張機能を利用できました。

しかし本日初め、サイバーセキュリティ会社アバストは、拡張機能の悪意を確認した後、拡張機能をGoogleに報告し、リストを32のエントリに拡大したと発表した。これらは合計で 7,500 万回のインストールを誇りました。

アバストによると、これらの拡張機能は何も知らないユーザーには無害に見えるが、検索結果をハイジャックしてスポンサー付きリンクや有料結果を表示し、場合によっては悪意のあるリンクを提供するアドウェアであるという。

アバストが調査結果を公表する前からのコメント要請に応じ、Googleの広報担当者は「報告された拡張機能はChromeウェブストアから削除された」と述べた。

「私たちは拡張機能に対するセキュリティとプライバシーの主張を真剣に受け止めており、私たちのポリシーに違反する拡張機能を見つけた場合には、適切な措置を講じます。」

「Chrome ウェブストアには、ユーザーの安全を守るためのポリシーがあり、すべての開発者がこれに従う必要があります」と Google の担当者は語った。

    アバストは、世界中の数万の顧客、そして潜在的には数百万の顧客を対象とした拡張機能の重大な影響を強調しています。

    アバストは顧客のために、拡張機能内の悪意のある要素のみを選択的に無効化し、正規の機能が中断されることなく動作し続けるようにしました。

    7,500万ダウンロードという数字は心配に思えるが、同社はこの数字が「人為的に水増しされた」のではないかと疑っている。悪意のある拡張機能 (ID) の完全なリストは、アバストのレポートで確認できます。

    ユーザーは、Chrome ウェブストアから拡張機能を削除しても、ブラウザから拡張機能が自動的に非アクティブ化またはアンインストールされるわけではないため、リスクを排除するには手動での対応が必要であることに注意してください。