セキュリティ企業のICEBRGは、米GoogleのChrome Web Storeで提供されていた悪質な拡張機能を発見したと発表した。ダウンロード回数は世界で合計50万を超えていたといい、同社はブラウザの拡張機能が、企業などの組織に対して投げ掛けるリスクに警鐘を鳴らしている。

ICEBRGの1月15日のブログによると、ある顧客のワークステーションで不審なトラフィックが検出され、調べた結果、Chrome Web Storeで提供されていた「Change HTTP Request Header」という拡張機能が原因だったことが判明した。

Change HTTP Request Header（出典：ICEBRG）

同拡張機能は一見、不正なコードは含まれていないように見えていたが、任意のJavaScriptを挿入して実行できる仕組みを備え、検出を免れるための機能も実装していたという。問題のJavaScriptは、ユーザーに広告を閲覧させて収入を稼ぐクリック詐欺に使われていたと思われ、攻撃者が企業のネットワークに侵入して、情報を盗むための足掛かりになる恐れもあったとICEBRGは解説している。

同じ仕組みを使って任意のJavaScriptを挿入する手口は、他に「Nyoogle - Custom Logo for Google」「Lite Bookmarks」「Stickies - Chrome's Post-it Notes」という3本の拡張機能でも見つかった。この4本の拡張機能は合計で、大手国際組織を含む50万人あまりのユーザーに使われていたという。

Change HTTP Request Headerは、任意のJavaScriptを挿入して実行し、ユーザーに広告を閲覧させて収入を稼ぐクリック詐欺に使われていたと思われる（出典：ICEBRG）

ICEBRGはGoogleのほか、オランダと米国のサイバーセキュリティ機関にも連絡を取り、問題の拡張機能はChrome Web Storeから削除されたという。ただし、同ストアから削除されても、影響を受けるホストからは削除されていない可能性があり、サードパーティを通じてインストールされる恐れもあるとしている。

Webブラウザの不正な拡張機能は過去にも報告されている。こうした深刻かつ簡単に見過ごされてしまう攻撃経路が利用されれば、組織が危険にさらされかねないとICEBRGは指摘している。