広告ブロッカーを装った悪意のある Chrome 拡張機能

2017.10.26

Google のセキュリティチェックをすり抜けてウェブストアに入り込む悪意のある Chrome 拡張機能の問題が後を絶ちません。



その最近の例が Adblock Plus の偽物です。正規の Adblock Plus は、1 億回以上ダウンロードされている人気の広告ブロッカーであることから、簡単に検出されても不思議ではありませんでした。



しかし実際には、「AdBlock Plus」の B が大文字になってはいたものの、「何かがおかしい」と感じたのは、アプリケーションペインをじっくり観察し、否定的なユーザーレビューを読んだユーザーだけでした。



匿名の Twitter ユーザー @SwiftOnSecurity(リンク先:英語) がこの問題を報告した 10 月 9 日の時点で、この偽の拡張機能が Chrome ウェブストアに登録されてから数週間が経過しており、37,000 回もダウンロードされていました。






コメントから判断すると、偽の拡張機能 AdBlock Plus をインストールしたユーザーのブラウザタブには、迷惑な広告が表示されたようです。

@SwiftOnSecurity のこのインシデントに対する反応は冷ややかです。



“私が Google に対して厳しい態度を取っているのは、Google の Chrome チームが現行の拡張機能審査プロセスに満足しているとは到底思えないからです。”



Chrome 拡張機能セキュリティチーム(リンク先:英語)は、報告を受けた「数分後には」当該の拡張機能をインストールしたマシンから削除し、関与している開発者のアカウントを一時的に停止した、と Google は述べています。



しかし、有名な拡張機能の名前を騙った不正なものが掲載されていたという事実は変わりません。

この不正な拡張機能はどのようにしてチェックをすり抜けたのでしょうか。



当該の拡張機能は削除済みであるため、確かなことは分かりません。しかし、ローマ字の代わりにキリル文字が使用される、ホモグラフ (同形異義語) の Punycode による偽装と関係があるかもしれない、と @SwiftOnSecurity は示唆しています。


この攻撃手法については Naked Security の記事で詳しく説明(リンク先:英語)しているので、そちらを読んでいただくとして、重要なのは Google の自動化されたセキュリティ対策ではそのような不正を検出できない可能性がある点です。



本物のふりをした拡張機能の問題は、今に始まったことでも革新的な手法でもありません。広告をブロックする拡張機能 (広告ブロッカー) は、これまでにもこの種の攻撃のターゲット(リンク先:英語)になってきました。

Google は、チェック方法を改善する計画について次のように述べています。



“このアプリはチェックをすり抜けることができましたが、Google はすでにその理由を特定し、現在対応中です。

さらに言えば、Google は、これがこのアプリだけの問題ではないことを認識しています。現在検討している解決策の詳細は明らかにはできませんが、Google が解決に取り組んでいることを皆様にお知らせしておきます。”



Google は何年も前からチェック制度を強化しているにもかかわらず、不正なアプリが次々に出現している、と反論する人々もいるでしょう。

Google は 3年前、すべての拡張機能をウェブストアでホストするというルールを施行(リンク先:英語)し、その後不正な拡張機能の数は減少しました。しかし、正規の拡張機能が乗っ取られた最近のインシデントを含め、問題は現在も報告され続けています。



拡張機能も所有権の変更が可能であり、YouTube 向けの Particle のケースのように、所有権を変更した後に突然不正なものになることがあります。


偽の拡張機能は簡単に発見できると言いたいところですが、現実は異なります。

最もお勧めする対策は、インストールする前に (よく知っているものであったとしても) それぞれの拡張機能を慎重に検討したうえで、本当に必要な拡張機能だけをインストールすることです。また、拡張機能を名前で検索してください。ただし、検索結果の上位に不正な拡張機能が表示されることもありますので、否定的なレビューを注意深く読んでください。



ブラウザの拡張機能もソフトウェアの 1 つであることを忘れないでください。Google のウェブストアに登録されているからといって、油断してはいけません。

引用元

おすすめの記事はこちら