Chrome拡張機能で閲覧履歴や個人情報が盗まれる被害が発生

ITニュース

セキュリティ企業のAvastが悪意あるChromeおよび、Edge向け拡張機能が28個特定したと発表しました。

※Chrome向け15個、Edge向け13個

各拡張機能のダウンロード数から被害者は世界中で最大300万人にのぼると予想されています。

スポンサーリンク

別サイトから拡張機能をダウンロードさせる手口

Avastのセキュリティ研究者が発見したわけですが、GoogleやMicrosoftの拡張機能をインストールする場合、各ブラウザのアプリストアからダウンロードすることになります。

例えば、Chromeの場合だと、「ウェブストア」からダウンロードします。

この場合、Googleのセキュリティチェックを受けた上でウェブストアに登録されるわけですが、見つかった悪意ある拡張機能は別サイトからコンテンツを追加できるように装っていたそうです。

なかには、Chromeウェブストア上に登録されていたものもある。

ちなみに、悪意ある拡張機能はFacebook・Instagram・Vimeo・Spotifyなどのサイトからダウンロードできるようになっていたそうです。

スポンサーリンク

拡張機能からマルウェアをインストールさせる

今回特定された悪意ある拡張機能は端末にマルウェアをインストールさせるJavascriptベースの悪意あるコードが仕込まれていたとのこと。

既に、AvastがGoogleへ通報しており、Chrome向けの悪意ある拡張機能15個はウェブストア上から削除されています。

  • Direct Message for Instagram
  • DM for Instagram
  • Invisible mode for Instagram Direct Message
  • Downloader for Instagram
  • App Phone for Instagram
  • Stories for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Zoomer for Instagram and FaceBook
  • VK UnBlock. Works fast.
  • Odnoklassniki UnBlock. Works quickly.
  • Upload photo to Instagram™
  • Spotify Music Downloader
  • The New York Times News

Edge向けの拡張機能は以下、Microsoft側で対応が遅れているのか現時点で、いくつかまだダウンロードできるようになっている

  • Direct Message for Instagram™
  • Instagram Download Video & Image
  • App Phone for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Volume Controller
  • Stories for Instagram
  • Upload photo to Instagram™
  • Pretty Kitty, The Cat Pet
  • Video Downloader for YouTube
  • SoundCloud Music Downloader
  • Instagram App with Direct Message DM

もし、上記の拡張機能をインストールしてしまった場合は、拡張機能を無効にしてアンインストールし、セキュリティソフトでウイルススキャンを実行してください。

スポンサーリンク

違法行為を行うための拡張機能

今回見つかった悪意ある拡張機能の名前を見ると「Instagram Download Video & Image」や「Video Downloader for FaceBook™」、「Video Downloader for YouTube」といった、InstagramやFacebook、YouTubeから動画や画像をダウンロードするための拡張機能のように見受けられる。

もともと、InstagramやFacebook、YouTubeには動画や画像のダウンロード機能はないので、アプリのポリシーに違反する行為を行う目的の人が使っていたと思われる。
まぁ悪いことをしようとすると足元見られているってことですね。

悪意ある拡張機能は何をする?

悪意ある拡張機能はいったいどのような動きをするのでしょうか・・・

リンクをクリックすると、拡張機能が攻撃者の制御サーバーに情報を送信し、すべてのクリックのログを作成。その後、ログはサードパーティのWebサイトに送信され、生年月日、電子メールアドレス、デバイス情報、初回サインイン時刻、最終ログイン時刻、デバイス名、オペレーティングシステム、ブラウザーなど、ユーザーに関する個人情報を収集するために使われるそうです。

GoogleやMicrosoftは見抜けなかったのか?

Chromeウェブストア上に登録されていたのなら、Google側のセキュリティチェックがあったはず。
GoogleやMicrosoftもバカじゃないので悪意あるソースコードがあれば気づくはず・・・

にも関わらず、ウェブストア上に登録されたからには何らかのカラクリがあるはず。
そのことについても、Avastの記事に記載されていました。

アップデート時にマルウェアを仕込む?

Avastのマルウェア研究者であるJan Rubín氏が言うには、

「拡張機能がマルウェアを組み込んで意図的に作成されたか、作成者が拡張機能が普及するのを待ってからマルウェアを含むアップデートをプッシュしたというもの、または作成者が元の拡張機能を作成した後に他の誰かに販売し、その後クライアントがマルウェアを導入した可能性もあります。」

アップデート時にマルウェアを仕込まれたりすると中々見つけにくくなりますよね・・・

日々数えきれないほどのの拡張機能がアップデートされたり登録されたりしているわけですから・・・

マルウェアがソフトウェア開発者を除外する?

別のマルウェア研究者であるJan Vojtěšek氏によると、
マルウェアの中には、検索履歴などからユーザーがソフトウェア開発者なのかを判別し、開発者だった場合は悪意ある行動を自粛する機能を持ったものもあったそうです。

ソフトウェア開発者ならプログラム系の記事を読んでたり、GitHubにアクセスしていたりとするでしょうか判別できないこともないですね。

このような面倒な動きをするのも、不審な挙動を見抜くスキルのある人から悪意ある拡張機能ということを隠すためにやっているのでしょうね。

参照元、AvastのBlogより(英語)