Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが

Malicious Chrome extensions with 75M installs removed from Web Store

2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。


5月中旬にポストした記事で Palant は、このコードにより、ユーザーが訪問した Web サイトに対して、serasearchtop[.]com」ドメインから任意の JavaScript コードを注入できたと説明している。

Web ページへの広告の挿入から機密情報の窃取にいたるまで、このコードの悪用の可能性は多岐にわたる。しかし Palant は、悪意の活動を確認できておらず、このコードの目的は不明なままだ。

また Palant は、このコードがエクステンションのインストールから 24時間後に、起動するように設定されていることも発見している。一般的に、この挙動は、悪意の意図によるものだと考えられている。

数日前にも Palant は、この件に関する続報を発表した。それによると、ダウンロード総数が 5,500万件にのぼる、別の 18種類の Chrome エクステンションでも同様に、疑わしいコードを発見されたようだ。以下は、報告されたエクステンションの一部である:

  • Autoskip for Youtube:9,000,000 人のアクティブ・ユーザー
  • Soundboost:6,900,000 人のアクティブ・ユーザー
  • Crystal Ad block:6,800,000 人のアクティブ・ユーザー
  • Brisk VPN:5,600,000 人のアクティブ・ユーザー
  • Clipboard Helper:3,500,000 人のアクティブ・ユーザー
  • Maxi Refresher:3,500,000 人のアクティブ・ユーザー

Palant が2番目の記事を投稿した時点では、すべてのエクステンションが、Chrome Web Store からダウンロード可能だった。

The most popular of the malicious extensions
悪意のエクステンションの中で最も人気のあるもの (Avast)

さらに調査を続けた、Palant が発見した種類のコードの亜種には、Mozilla の WebExtension ブラウザ API Polyfill を装うものと、Day.js ライブラリを装うものがあった。そして、どちらのバージョンも同様に、serasearchtop[.]com に関連する、任意の JS コード・インジェクション・メカニズムを備えていた。

Palant は、明確な悪意の活動を観察していない。しかし、Chrome Web Store には、このエクステンションがリダイレクトや検索結果ハイジャックを実行していると指摘する、多数のユーザーレポートやレビューがあると、彼は述べている。

彼は、この不審なエクステンションを Google に報告しようと試みたが、Chrom Web Store では、依然としてユーザーが入手できる状態が続いていた。

しかし、6月2日の未明に、サイバー・セキュリティ企業である Avast が、悪質なエクステンションを確認した上で Google に報告し、リストを 32件に拡大したと発表した。それらを合計すると、7500万インストールに達するという。

Avast によると、これらのエクステンションは、疑うことを知らないユーザーからは無害に見えるが、実態はアドウェアであるという。具体的に言うと、検索結果をハイジャックしてスポンサーリンクや有料情報を表示し、時には悪意のリンクまで提供することもあるという。

Avast が調査結果を公表する以前のことだが BleepingComputer が Google にコメントを求めたところ、同社の広報担当者は、「報告されたエクステンションは、Chrome Web Store から削除された。エクステンションに対するセキュリティやプライバシーの主張を真摯に受け止め、ポリシーに違反するエクステンションを発見した場合は適切な処置をとる。Chrome Web Store には、ユーザーの安全を守るためのポリシーがあり、すべての開発者が遵守しなければならない」と回答していた。

数万人の同社の顧客に対して、また、世界中の数百万人の潜在ターゲットに対して、これらエクステンションによる深刻な影響を、Avast は強調している。同社は顧客のために、エクステンション内の悪意の要素のみを選択的に無効化し、正規の機能を中断させることなく、オペレーションを継続させたという。

7,500万ダウンロードという数字が心配になるが、同社はこの数字が “人為的に盛られた” と疑っている。悪意のエクステンション (ID) の完全なリストは、Avast のレポートに記載されている。 

Chrome Web Store からエクステンションを削除しても、ブラウザからアンインストールされるわけではなく、自動的に無効化されることもない。そのため、リスクを排除するためには、手動での対処が必要であることに注意する必要がある。

Chrome エクステンションは便利であり、また、手軽にインストールできるので、ついつい依存しがちになりますが、アプリケーションの1つの形態であり、悪意のコードを埋め込むことも可能です。以前から、エクステンションに対するアンチウイルスが気になっていたので、調べてみたら Google Chrome Help に「Google Chrome からポップアップが頻繁に届きます、今すぐアンチウイルスをオン」という投稿と回答がありました。Google としては、Chrome Web Store での審査があるからというスタンスなのでしょうが、それほど甘いものではないはずです。