あなたのブラウザは大丈夫? Chrome拡張機能が「いつの間にか」マルウェアに変わる手口と5つの対策:Google Chrome完全ガイド
パスワード管理や翻訳ツールなどの便利な「Chrome拡張機能」を愛用している人も多いのではないでしょうか。しかし、ある日突然、拡張機能がマルウェア化してしまう、という事件が起きています。なぜこのような事態が起きるのか、そして私たちはどう身を守ればよいのか。その仕組みと対策について解説します。
Chrome拡張機能が「いつの間にか」マルウェアに変わる手口と5つの対策パスワード管理や翻訳ツールなどの便利な「Chrome拡張機能」を愛用している人も多いのではないでしょうか。しかし、ある日突然、拡張機能がマルウェア化してしまう、という事件が起きています。なぜこのような事態が起きるのか、そして私たちはどう身を守ればよいのか。その仕組みと対策について解説します。
Google ChromeやMicrosoft Edgeでの作業を効率化してくれる「Chrome拡張機能」。パスワード管理や翻訳ツール、広告ブロッカーなど、みなさんも便利に使っているのではないでしょうか。
しかし、「ChromeとEdgeで430万人が感染、“Google認定の拡張機能”がマルウェアだった」でも報じられているように、「今まで安全に使えていた拡張機能が、ある日突然マルウェア(悪意あるプログラム)に変わってしまう」というインシデントが増加しています。
chromeウェブストアで配布されている拡張機能にも危険なものが……Googleの正規ストアであるchromeウェブストアで配布されている拡張機能であっても安心できないようです。ここで配布されている拡張機能の中にもマルウェア化されたものが含まれている可能性があるからです。
なぜこのような事態が起きるのか、そして私たちはどう身を守ればよいのか。その仕組みと対策について解説します。ここではGoogle Chromeの拡張機能を例に解説しますが、Microsoft EdgeでもGoogle Chromeの拡張機能が利用できるため同様に注意が必要です。
なぜ「いつの間にか」危険な状態になるのか?
拡張機能は、スマートフォンのアプリと同様、chromeウェブストアに登録する際にGoogleの審査があります。当然ながら、マルウェアが仕込まれているような拡張機能は審査に合格できず、chromeウェブストアに登録することはできません。
ユーザーがchromeウェブストアなどの正規の配布元からインストールしているにもかかわらず、なぜ被害に遭うのでしょうか。主な原因は、拡張機能特有の「更新の仕組み」と拡張機能の「買収」にあります。
悪意を持った拡張機能開発者の手口
前述の通り、拡張機能のchromeウェブストアの登録には審査があります。そこで悪意を持った開発者は、当初はマルウェアを仕込まずに魅力的に見える機能を持った拡張機能を開発し、審査を通過させます。
そして、多くのユーザーが拡張機能をインストールした後、「更新(アップデート)」のタイミングでマルウェアを仕込むのです。chromeウェブストアの新規登録時の審査に比べ、更新時の審査の隙を突く手口です(最近では、こうした事案の増加から更新時の審査も厳格化されつつあるようです)。
Chromeにインストール済みの拡張機能は、ユーザーの確認なしで、自動的に最新バージョンにアップデートされるため、マルウェアが仕込まれたものに置き換わってしまうことになります。
以上は、当初から悪意を持って拡張機能を開発しているケースです。もっと厄介なのは、当初は個人の善意ある開発者が作成した「便利で無害な拡張機能」が、多くのユーザーを獲得した後に、悪意ある業者に「権利譲渡(売却)」されてしまう場合です。
買収した悪意のある業者が、更新時にマルウェアを仕込むことで、「便利で無害な拡張機能」であったものが、「便利で悪意のある拡張機能」に変貌するわけです。
どちらの場合でも、「昨日まで便利に使っていた拡張機能が、朝起きたら自動更新によってマルウェアに変わっていた」という状況に陥るため、防ぐのが非常に難しい面があります。
どのような被害に遭う可能性があるのか
拡張機能に悪意あるコードが仕込まれると、以下のような被害に遭うリスクがあります。
| 被害 | 内容 |
|---|---|
| 広告の表示 | Webページやポップアップで独自の広告を表示 |
| アフィリエイト詐欺 | ユーザーがAmazonやeBayなどをクリックするとアフィリエイトトラッキングコードを注入 |
| 閲覧データの窃取 | 閲覧情報や検索ワードなどを外部のサーバに送信 |
| 認証情報の窃取 | セッションCookieなどを盗み出し、VPNやクラウドサービスへ不正ログインを試みる |
| 拡張機能を使った攻撃による主な被害 | |
攻撃者は、広告の表示やアフィリエイト詐欺によって直接収益を得るだけでなく、盗んだ認証情報などを使ってさらなるサイバー攻撃の足掛かりとする可能性もあります。
今すぐできる5つの防衛策
では、こうした危険な拡張機能をインストールしないようにするにはどうすればいいのか、5つの防衛策を紹介します。既に不正な拡張機能がインストールされていないかどうかを確認する方法は、Google Chrome完全ガイド「不正な処理を行っているGoogle Chromeの拡張機能を見つけるには?」を参照してください。
1.開発者とレビューをチェックする
拡張機能をインストールする前に、開発者とレビューをチェックしましょう。単にchromeウェブストアの「5点満点で」欄の星の数だけで判断するのは危険です。星の数は、マルウェアが仕込まれる前のものであったり、偽装されたものであったりするからです。
「5点満点で」欄の[すべてのレビューを表示]ボタンをクリックして、[並べ替え]プルダウンリストで「新着順」を選んでレビューを表示します。直近のレビューで「広告が出るようになった」「動きがおかしい」という書き込みが急増していないかどうか確認します。
また、提供元が信頼できる企業や個人かどうかを確認するのも重要です。拡張機能のインストール後も定期的に確認し、「デベロッパー」欄の名前が変わっていないかどうかを確認するのを忘れないようにしましょう。前述の通り、拡張機能が悪意のある業者に買収され、悪用される危険性があるからです。
開発者とレビューをチェックする(2)画面下部の「デベロッパー」欄を確認します。ここが信頼できる組織や個人であることが重要です。知らない組織や個人の場合は、Web検索などをしてみるとよいでしょう。次に[すべてのレビューを表示]をクリックします。
開発者とレビューをチェックする(3)レビューページが開くので、「言語」を[すべての言語]に変更して、直近のレビューを確認します。英語の方が情報が速く、レビューの件数も多いので、なるべく英語の情報も確認するようにしましょう。
2.拡張機能は「入れ過ぎない」
拡張機能の数が増えれば増えるほど、リスクは高まります。便利そうだから「取りあえず入れておこう」はやめましょう。また1カ月に1回程度、定期的に拡張機能の管理画面を開き、名前を見て何の拡張機能か分からないものや、この1カ月使っていないものがあったら、「無効」にするのではなく「削除」します。
不要な拡張機能を削除する(1)[拡張機能]アイコンをクリックして、[拡張機能を管理]を選択します。アドレスバー(オムニボックス)に「chrome://extensions/」と入力して[Enter]キーを押しても構いません。
不要な拡張機能を削除する(2)「拡張機能の管理」画面が開くので、ここで不要な拡張機能がないかどうかを確認します。機能が重複しているものなどがあった場合は、「無効」にするのではなく、[削除]ボタンをクリックして削除してしまいましょう。
拡張機能を整理することで、Webブラウザの性能向上にも寄与する可能性があります。
3.拡張機能の権限を確認する
インストール時や使用中に、「この拡張機能は以下の権限を求めています」というポップアップが出ることがあります。 特に危険なのは「すべてのウェブサイト上にある自分の全データの読み取りと変更」という権限です。これが許可されていると、ネットバンキングや社内システムの画面も読み取られてしまう可能性があります。
拡張機能のインストール時に表示される許可される権限を示すポップアップ拡張機能をインストールする際、このような権限を要求するダイアログが表示されることがあります。特に「すべてのウェブサイト上にある自分の全データの読み取りと変更」という要求があった場合には、本当に必要な拡張機能以外は避けるようにしましょう。
ただ、この権限は多くの拡張機能が求めてくるようです。信頼できる開発者かどうかで、許可を与えるかどうか判断せざるを得ません。少しでも不安があるようならインストールしない方が無難でしょう。
インストール済みの拡張機能の権限は、拡張機能の管理画面で[詳細]ボタンをクリックして開く、拡張機能画面の「権限」欄で確認できます。また、[サイトの設定]をクリックすると、新しいタブでより細かな権限が確認可能です。必要なはずはないのに位置情報やカメラなど不要な項目が「許可する」になっていないかどうか確認しましょう。
拡張機能の権限を確認する(1)前述した拡張機能の管理画面(chrome://extensions/)で、対象の拡張機能の[詳細]ボタンをクリックして個別の「拡張機能の管理」ページを開き、「権限」欄を確認します。また、[サイトの設定]をクリックして、さらに詳しい権限を確認するようにしましょう。
拡張機能の権限を確認する(2)新しいタブで「設定」ページが開きます。ここで不要な権限が与えられていないかどうかを確認しましょう。特に「位置情報」や「カメラ」といった項目が必要なはずはないのに「許可する」になっていないかどうか確認しましょう。
4.拡張機能の「サイトへのアクセス」を制限する
拡張機能の管理画面で[詳細]ボタンをクリックして開く、拡張機能画面の「サイトへのアクセス」欄を確認します。これは、拡張機能が動くタイミングを制御する機能です。
「すべてのウェブサイト上にある自分の全データの読み取りと変更」の権限を求める拡張機能の中には、「サイトへのアクセス」を[すべてのサイト][特定サイト][クリックされた場合のみ]の3種類から選択可能なものがあります。[すべてのサイト]を選択していると、ユーザーの意思にかかわらず、拡張機能がデータを読み取ってしまう危険性があります。特定のWebサイトでしか拡張機能を使わないのであれば、[特定サイト]を選択し、URLを指定することで実行できるサイトを制限するとよいでしょう。
また、[クリックされた場合のみ]に設定し、拡張機能を使う際にはアドレスバーの右側にある[拡張機能]アイコンをクリックして、その都度、アクセスを許可するようにすると攻撃を受ける可能性を下げることができます。
拡張機能の「サイトへのアクセス」を制限する(1)「すべてのウェブサイト上にある自分の全データの読み取りと変更」の権限を求める拡張機能の中には、「サイトへのアクセス」を設定変更できるものがあります。「拡張機能の管理」ページを開き、「サイトへのアクセス」欄のプルダウンリストで[特定サイト]または[クリックされた場合のみ]に変更しましょう。[特定サイト]を選択した場合、URLを入力するダイアログが表示され、アクセスを許可するサイトを登録する仕組みとなっています。
拡張機能の「サイトへのアクセス」を制限する(2)「サイトへのアクセス」欄で[クリックされた場合のみ]を選択した場合、開いたWebサイトで拡張機能を使う場合には[拡張機能]アイコンをクリックして、「アクセスを要求しました」欄にある拡張機能をクリックして許可を与える必要があります。
5.重要な作業用のWebブラウザを分ける
Google Chromeの「プロファイル機能」やMicrosoft Edgeなどを使って、用途ごとにWebブラウザ環境を切り替えるのも有効な手段です。
普段の調べ物などに使うWebブラウザには、便利な拡張機能をインストールして機能性を高めます。一方、オンラインバンクやネット通販(クレジットカード決済)、社内システムへのアクセスに使うWebブラウザには、パスワード管理や認証に必要となる最低限の信頼できる拡張機能のみインストールしておくという方法です。
Chromeのプロファイル機能については、「Google Chromeの『プロファイル』とは? 用途ごとに複数のChrome環境を簡単に作る方法」を参照してください。
Copyright© Digital Advantage Corp. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。