Kaspersky 調査:Web ブラウザ・エクステンション 700万に潜む悪意のアドウェア

Malicious browser extensions targeted almost 7 million people

2022/08/16 BleepingComputer — 2020年以降において、約700万人のユーザーの Web ブラウザに、悪意のエクステンションがインストールされているが、そのうちの 70% が不正な広告でユーザーを狙うアドウェアとして使用されるものだ。2022年上半期においても、Web ブラウザの悪意のエクステンションが運び込む、一般的なペイロードはアドウェア・ファミリーに属し、ブラウジング・アクティビティを盗聴し、アフィリエイト・リンクを宣伝するものだった。

この発見は、Kaspersky が収集したテレメトリー。データに基づいており、ユーザーによる悪意のエクステンションのインストールは、2022年上半期を通じて 130万件を超え、昨年の数値と比較して増加していることが報告されている。

Number of malicious extension installation attempts (Kaspersky)

2020年1月〜2022年6月に Kaspersky は、430万人のユーザーをターゲットとしたアドウェア・エクステンションを記録しており、この期間における全ての悪質エクステンションの約 70% に相当する数となっている。この統計は、悪意のエクステンションが、他の配信メカニズムに比べて極めて大きなアドウェア配信経路であるかを反映している。

また、この数字は Kaspersky のソフトウェアを利用しているユーザーに基づく、テレメトリー測定の結果であることにも注意が必要だ。他のセキュリティ・ベンダーで保護されているユーザー数を考慮すると、この数値の実態は遥かに大きなものであると推測される。

2022年の主たる脅威

Kaspersky によると、WebSearch を皮切りに、DOC から PDFへの変換や、文書の結合といった生産性向上ツールを模倣した、悪意のエクステンションが、今年は 876,924ユーザーで検出されたという。

この WebSearch は、ユーザーのブラウジング活動を監視し、ユーザーの興味に基づいたプロファイリングを行い、感染の収益化に役立つ提携マーケティング・プログラムからのリンクを促進するとのことだ。

WebSearch はブラウザのホームページを AliExpress や Farfetch で変更し、検索結果の上位に掲載される不正なリンクのクリックを通じて、エクステンションから資金を得ている。

New homepage set by EasyPDFCombine
New homepage set by the EasyPDFCombine extension (Kaspersky)

ブラウザのエクステンション・スクリプトに潜むアドウェアの中で、2番目に多いのは AddScript であり、156,698人のユーザーで確認されている。AddScript はバックグラウンドで密かに実行され、それを搭載したエクステンションは、Web からビデオをダウンロードするという定型的な機能を提供する。

このマルウェアは、インストールされた後に取得する JavaScript により、バックグラウンドで動画を実行し、YouTube チャンネルの再生回数を高めて、広告収入を増加させる。さらに、AddScript はホスト上にアフィリエイト Cookie を注入し、ブラウザを通じて購入されたものに対して手数料を受け取る。

Malicious code in AddScript
Malicious code in AddScript (Kaspersky)

悪意のエクステンションを介して、人々のマシンに巣食うアドウェアの第3位は DealPly であり、今年の上半期に 9万7525件の感染を記録している。

このアドウェアのアクティビティは、P2P ネットワークや怪しいサイトからダウンロードした、KMS アクティベータやゲームチート・エンジンなどの海賊版ソフトウェアを実行することから始まる。続いて、ブラウザのエクステンションの自動注入と、新しいレジストリキーの追加が行われる。

Registry keys added by DealPly
Registry keys added by DealPly (Kaspersky)

これらのキーは、永続性を付加するものであり、ユーザーが拡張機能を削除しても、プログラムの再立ち上げ時に再ダウンロードされ、ブラウザにインストールされる。また、DealPly はブラウザのホームページを変更し、ユーザーの検索クエリにマッチしたアフィリエイト・サイトを宣伝する。

Scrutinizing user's search queries to promote links
Scrutinizing user’s search queries to promote affiliate links (Kaspersky)

安全性を確保する方法

自身の Web ブラウザを、悪意のアドウェアに感染させないようにするためには、ブラウザの公式 Web ストアから正規のエクステンションをダウンロードし、ユーザーのコメントやレビューを確認し、開発者やパブリッシャーのバックグラウンドをチェックすることが必須となる。

それらのエクステンションの中には、機能を提供するために高度な権限許可を必要とするものがあるため、同意する前に、そのプライバシー・ポリシーとデータ収集方法を注意深く確認することが不可欠となる。

最後に、必要最小限のエクステンションを使用するようにし、インストールされているアドオンを定期的に確認し、インストール時の記憶が曖昧なものは、削除するほうが良いだろう。

Kaspersky がインストールされているという、限定された条件の中でのテレメトリー調査で、700万もの悪意のアドウェア・エクステンションが発見されたという、ちょっと驚きの調査結果です。文中のマトメ部分にもありますが、必要最小限のエクステンションのみを残すという、考え方が良さそうです。ブラウザのエクステンションと同様に、スマフォのアプリや、各種のプラグインなど多ければ多いほど、リスクが高くなると捉えるべきなのでしょう。

%d bloggers like this: