人気の Chrome エクステンション群に深刻な問題:HTTP 平文通信や API キー漏洩など

Popular Chrome Extensions Leak API Keys, User Data via HTTP and Hardcoded Credentials

2025/06/05 TheHackerNews — Chrome エクステンション群の中に、HTTP 経由でデータを平文送信し、ソースコード内に秘密情報をハードコーディングする複数の製品が存在し、深刻なプライバシー/セキュリティ・リスクにユーザーが直面していることを、サイバー・セキュリティの研究者が警告している。Symantec のセキュリティ研究者 Yuanjing Guo は、「広く使用されている複数のエクステンションが、意図せず単純な HTTP 経由で機密データを送信している。それにより、ブラウジング・ドメイン/マシン ID/オペレーティング・システムの詳細/使用状況の分析/アンインストール情報などが平文で送信されている」と指摘している。

つまり、ネットワーク・トラフィックが暗号化されていないため、中間者攻撃 (AitM) の標的となる可能性が高く、公共 Wi-Fi などの共有ネットワーク上で、脅威アクターにデータを傍受/改変されると、さらに深刻な影響を生じる恐れがある。

Symantec が特定したエクステンションは以下のとおりである:

  • SEMRush Rank (ID: idbhoeaiokcojcgappfigpifhpkjgmab)/PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl):平文の HTTP を用いて rank.trellian[.]com にアクセス
  • Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh):アンインストール時に HTTP で browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com にリクエストを送信
  • MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl)/MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj):マシン識別子などを HTTP で g.ceipmsn[.]com に送信
  • DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc):ブラウザ言語やバージョン/使用タイプなどを取り込んだ HTTP リクエストを stats.itopupdate[.]com に送信

Yuanjing Guo は、「資格情報やパスワード自体が漏洩しているわけではないが、パスワード・マネージャーが非暗号化リクエストをテレメトリに使用することは、全体的なセキュリティ態勢への信頼を損なう」と述べている。

さらに Symantec は、JavaScript コード内に API キー/シークレット/トークンをダイレクトに埋め込んだエクステンションも発見している。この欠陥を突く攻撃者は、悪意のリクエストを生成し、さまざまな不正行為の可能性を手にする。

以下のエクステンションは、ハードコーディングされた資格情報を露出している:

  • Online Security & Privacy extension (ID: gomekmidlodglbbmalcneegieacbdmki)/AVG Online Security (ID: nbmoafcmbajniiapeidgficgifbfmjfo)/Speed Dial [FVD] – New Tab Page, 3D, Sync (ID: llaficoajjainaijghjlofdfmbjpebpa)/SellerSprite – Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb)
    ハードコードされた Google Analytics 4 (GA4) API シークレットを公開。攻撃者が GA4 エンドポイントを攻撃し、計測データを破壊する恐れがある。
  • Equatio – Math Made Digital (ID: hjngolefdpdnooamgdldlkjgmdcmcjnc)
    音声認識に使用される Microsoft Azure API キーを埋め込んでいるため、それを悪用する攻撃者が、開発者にコスト的負担を与え、使用制限を超過させる可能性がある。
  • Awesome Screen Recorder & Screenshot (ID: nlipoenfbbikpbjkfpfillcgkoblgpmj)/Scrolling Screenshot Tool & Screen Capture (ID: mfpiaehgjbbfednooihadalhehabhcjo)
    開発者の S3 バケットにスクリーンショットをアップロードする、Amazon Web Services (AWS) アクセス・キーを公開している。
  • Microsoft Editor – Spelling & Grammar Checker (ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa)
    ユーザー・データ解析のための “StatsApiKey” テレメトリ・キーを公開している。
  • Antidote Connector (ID: lmbopdiikkamfphhgcckcjhojnokgfeo)
    API キーを取り込んだ、ハードコードされた認証情報を持つ、サードパーティ製ライブラリ InboxSDK を組み込んでいる。
  • Watch2Gether (ID: cimpffimgeipdhnhjohpbehjkcdpjolg)
    Tenor GIF 検索用 API キーを公開している。
  • Trust Wallet (ID: egjidjbpglichdcondbcbdnbeeppgdph)
    Ramp Network (Web3 プラットフォーム) 関連の API キーを公開している。
  • TravelArrow – Your Virtual Travel Agent (ID: coplmfnphahpcknbchcehdikbdieognn)
    “ip-api[.]com” へのクエリ送信時に位置情報 API キーを公開している。

これらの、公開されている API キーには、攻撃者により悪用される恐れがある。それにより、以下のようなリスクが生じる:

  • 不正利用による API コストの急増
  • 違法コンテンツのホスティング
  • テレメトリ改竄
  • 暗号資産取引の偽装
  • 開発者アカウントの停止

特に懸念すべきは、InboxSDK から生じる問題である、それを取り込んでいる Antidote Connector は、InboxSDK を使用する 90を超えるエクステンションの1つに過ぎず、他のエクステンションにおいても、同様の問題が発生している可能性があるという点だ。Symantec は、それらのエクステンションの名称を明らかにしていない。

Yuanjing Guo は、「GA4 の秘密鍵から Azure 音声キー/AWS 資格情報/Google トークンに至るまで、数行の不適切なコードにより、サービス全体が危険に直面することがある。根本的な解決策は、機密資格情報をクライアント側に保存しないことだ」と警告している。

開発者に対して強く推奨されるのは、データ送受信時には常に HTTPS を使用し、資格情報はバックエンド側で安全に管理することだ。さらに、秘密鍵を定期的に更新し、リスクを最小化すべきである。

今回の調査で明らかになったのは、数十万回以上インストールされたエクステンションであっても、ハードコーディングされた資格情報や、ミスコンフィグによる HTTP 通信の選択などにより、重大なセキュリティ問題を引き起こす可能性である。

Symantec は、「これらのエクステンションのユーザーは、不適切な HTTP 呼び出しを開発者が修正するまで、それらの削除を検討すべきである。これらのリスクは、理論上のものではない。暗号化されていないトラフィックは容易に傍受され、プロファイリング/フィッシング/標的型攻撃での悪用の可能性が生じる」と述べている。

同社は、「根本的な教訓は、それぞれのエクステンションのブランド名や人気が、セキュリティの成熟度を保証するものではないという点だ。すべてのエクステンションにおいて、送信するデータと使用するプロトコルは厳密に監査されるべきであり、また、ユーザーの情報が真に保護されるよう徹底されるべきである」と締め括っている。

数多くの Chrome ユーザーさんが、さまざまなエクステンションを日常的に使っている はずだと思います。しかし、思わぬところに落とし穴という話ですね。とは言え、エクステンションの脆弱性についても、これまでに、いろんな問題点が語られています。また、悪意のエクステンションの存在も指摘されています。よろしければ、Extension で検索も、ご利用ください。