2018年04月20日 11時09分 セキュリティ

Chromeの広告ブロッカー拡張機能を装ったマルウェアの存在が判明、すでに2000万回以上ダウンロード済



Googleのウェブブラウザ「Chrome」の拡張機能としてリリースされている広告ブロック機能の中に、ひっそりと不正なマルウェアが忍び込まされているケースがあることが判明しました。この事実が明らかになった広告ブロッカー「AdRemover extension for Chrome」(以下「AdRemover」)は、これまでに2000万回以上もダウンロードされています。



Over 20,000,000 of Chrome Users are Victims of Fake Ad Blockers

https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers/



Millions of Chrome Users Have Installed Malware Posing as Ad Blockers - Motherboard

https://motherboard.vice.com/en_us/article/59jakq/chrome-ad-blockers-malware



この事実を発見したのは、広告ブロッカー「AdGuard」開発元の共同設立者であるアンドレイ･メシュコフ氏。GoogleのChromeウェブストアで配布されている広告ブロッカーの中に人気広告ブロッカーのコピー品がいくつもある状況に関心を抱いたメシュコフ氏は、そのうちの一つを実際にダウンロードして、中身のコードを詳細に調査したそうです。





すると、本来のアドブロッカーでは考えにくい奇妙な動作をしていることをメシュコフ氏は発見。「基本的に私はアドブロッカーをダウンロードし、どのようなリクエストを作っているのかをチェックしたのですが、いくつかの奇妙なリクエストが私の関心を引きました」と語ります。



メシュコフ氏が発見したのは、AdRemoverはリモートコマンドサーバーからロードされた画像(.png)の中に隠されたコードによって、拡張機能のアップデートを行うことなく当初とは別の機能を実行することが可能になるという事実でした。この事実だけでもAdremoverはGoogleの規約に反している状態であり、メシュコフ氏はAdGuardのブログにその例を掲載。その後、AdRemoverはChromeウェブストアから削除されており、Googleも削除した事実を認めています。





メシュコフ氏は、AdRemoverが実際にどのようなデータを集めていたのかを突き止めることはできなかったとのことですが、このような形でリモートサーバーへのリンクを持たせるという方法は、ブラウザの動作をさまざまな方法で変化させてしまうことにつながるため危険であると指摘しています。プライバシーに重点を置くブラウザ「Brave」の開発者であるヤン・ズー氏は、例えば自分のPCが攻撃の踏み台にされる「中間者攻撃」に巻き込まれることにつながる可能性などがあると指摘。しかし一方で、ブラウザに暗号化された状態で保存されているパスワードなど重要なデータにアクセスする権限は持ってないとも指摘しています。



AdRemoverはすでにChromeウェブストアから削除された状態となっていますが、メシュコフ氏によるとまだまだ同様の拡張機能が大量に提供されている状態にあるとみられるとのこと。メシュコフ氏は、怪しい拡張機能かどうかを見抜くための方法として「開発元のウェブサイトを訪れること」を推奨しています。もし、正規の拡張機能を提供している開発元であれば、インストールするためのリンクがサイトに貼られているはずなので、安心できるかどうかを判断できる材料になり得るとのこと。



そしてもちろん、「自分はどのような機能をインストールしているのか」を正確に把握しておくことも重要であると記しています。

