SNSユーザーにはびこる悪意ある「ブラウザ拡張機能」に注意：300万以上の端末に感染か

「Google Chrome」と「Microsoft Edge」のブラウザ拡張機能がマルウェア感染の温床になっているという。そうしたブラウザ拡張機能の手口とは。

≫ 2021年02月12日 08時00分公開

[Alex Scroxton，Computer Weekly]

　「Google Chrome」と「Microsoft Edge」のサードパーティー製ブラウザ拡張機能には注意が必要だ。こうした拡張機能がマルウェア提供メカニズムだったという事実がある。

　Avast Softwareの研究者であるジャン・ルービン氏によると、危険な拡張機能が少なくとも28件明らかになり、これまでに300万回ダウンロードされているという。

　マルウェアはさまざまな方法で被害者のオンラインエクスペリエンスを操作する。不要な広告サイトやフィッシングサイトにトラフィックをリダイレクトしたり、誕生日、電子メールアドレスやIPアドレスを盗み出したりする。

　ルービン氏によると同社のチームは、この悪意のある活動の隠れた目的はリダイレクトしたトラフィックを収益化することにあったと考えている。つまり、サイバー犯罪者が管理するドメインにトラフィックをリダイレクトするたびに、何らかの形で報酬を受け取っていた。

　「拡張機能にマルウェアを意図的に組み込んだか、拡張機能が普及するのを待ってからそこにマルウェアを含むアップデートを送り込んだというのが当社の仮説だ。作成者が拡張機能を第三者に売却し、その購入者がマルウェアを組み込んだ可能性もある」とルービン氏は話す。

　ルービン氏はこの脅威を2020年11月から監視しているが、少なくとも2年間はアクティブだったと考えている。Chromeウェブストアのレビューはその当時、リンクハイジャックに言及している。

　「拡張機能のバックドアは隠されており、悪意のある行動はインストールの数日後に始まることが、セキュリティソフトウェアによる検出を難しくする」と同氏は補足する。

　マルウェアのドメインをユーザーが検索しているのをマルウェアが検知した場合、またはユーザーがWeb開発のスキルを持っておりマルウェアの行為を特定できるとマルウェアが判断した場合は、マルウェアを難読化することも検出を難しくしている。

　英Computer WeeklyはGoogleとMicrosoftがこの問題を認識し、これを調査中であることは確認した。だが、本稿（原文）執筆時点ではマルウェアに感染した拡張機能を依然ダウンロードできる。

　「Instagram」や「Vimeo」などが名称に含まれていても、それらが公式な拡張機能ではないことに注意することが重要だ。少なくとも問題が解決するまで、ユーザーはその拡張機能を直ちに無効にするかアンインストールし、マルウェアをスキャンして削除する必要がある。

TechTargetジャパントップセキュリティ