2018年10月02日 15時00分 セキュリティ

Chromeウェブストアのルールが改訂、ユーザーがより安全にChrome拡張機能を利用できるように

by geralt



Googleが開発しているウェブブラウザ「Google Chrome」の大きな利点として、Chromeウェブストアからブラウジングをより便利にするための豊富な拡張機能をインストールできるという点があります。そんなChromeウェブストアの新たなルールをGoogleが発表し、「ユーザーがより安全にChrome拡張機能を使えるようにする」という方針を明らかにしています。



Chromium Blog: Trustworthy Chrome Extensions, by default

https://blog.chromium.org/2018/10/trustworthy-chrome-extensions-by-default.html



Google to no longer allow Chrome extensions that use obfuscated code | ZDNet

https://www.zdnet.com/article/google-to-no-longer-allow-chrome-extensions-that-use-obfuscated-code/



Chrome拡張機能によりユーザーは非常に便利な機能を利用することが可能で、2008年にChromeが公開されてから10年が経過した2018年の時点で、実に18万を超える拡張機能が存在しています。Googleによれば、デスクトップ版Chromeを使用するユーザーのうち半数以上は、何かしらのChrome拡張機能を利用しているとのこと。その一方で、安全性の低い拡張機能やユーザーに危険を及ぼす悪質な拡張機能が、Chromeウェブストアにこっそりと紛れ込んでいるという問題があります。



Googleは、「Chrome拡張機能はユーザーがニーズに合わせてさまざまな拡張機能を利用できたり、開発者が豊富な拡張機能を開発・提供できたりすることが重要です。しかし、それ以上に重要なのは拡張機能が安全であり、ユーザーのプライバシーを保護し、信頼できるものであることです」と述べており、拡張機能はその機能とデータアクセス権限について、高い透明性を持っている必要があるとしています。そこでGoogleは、Chromeウェブストアで公開される拡張機能について、新たなルールを制定しました。





◆1：難読化コードを使用した拡張機能の禁止

難読化コードとは、故意に内部的な動作の手続きや構造を人間が理解できないように加工されたコードのこと。これはパフォーマンス向上のために圧縮されたコードとは違い、ソースを見てもどのような手続きが行われているのか、外部から判断しづらくなっています。



Googleによれば、すでにGoogleがChromeウェブストアから排除している悪質なChrome拡張機能のうち、実に70％もの拡張機能が難読化コードを使用しているとのこと。Googleは「難読化コードを使用することにパフォーマンス上の利点はない」として、Chromeウェブストアから難読化コードを使用した拡張機能を削除する予定。すでにリリース済の難読化コードを使ったChrome拡張機能については、2019年1月1日までのコード修正猶予期間を設けるとのことですが、期限を過ぎても難読化コードのままである場合、ウェブストアから削除されるそうです。



by marissa anderson



◆2：新しい拡張機能のレビュープロセス

Googleは2018年10月1日から、Chromeウェブストアに登録される拡張機能に対する新たなレビュープロセスを開始します。新たなレビュープロセスでは、ブラウザに対して大幅な権限を要求する拡張機能に対して「追加のコンプライアンスレビュー」を課すとのこと。



拡張機能の中には「将来的に新たな機能を追加した時に必要になる可能性がある」として、現段階で提供している機能に必要な範囲を超えた権限を要求するものがあります。しかし、Googleはそういった必要以上の権限を要求する拡張機能よりも、「狭い範囲に権限を絞った拡張機能」のほうが望ましいと考えています。



さらに、拡張機能がリモートホストから提供されたコードを使用する場合、開発者が拡張機能の実行時に提供するコードを差し替えることができるとGoogleは主張。拡張機能のレビューを通過した後に悪質なコードを提供することもできるとして、リモートホストのコードを実行する拡張機能は「継続的な監視」が行われるそうです。



by Christiaan Colen



◆3：拡張機能の許可をサイト単位で承認

Googleは2018年10月にリリースする予定の「Chrome 70」で、拡張機能が適用されるウェブサイトを特定のウェブサイトのみに制限するといった設定が可能になります。この設定には、拡張機能が銀行のオンライン口座へのログインページや暗号通貨のウォレット、電子メールの受信ボックスなど、機密性の高いサイトで危険な動作を防ぐ目的があるとのこと。



また、Chrome 70では「クリックした時のみ拡張機能の適用を許可する」といった設定も可能になる予定。つまり、ウェブページを開いてから特定のアイコンやオプションページをクリックした時のみ、拡張機能が動作を開始できるように制限することも可能だそうです。





◆4：開発者向けの2段階認証プロセス

4つ目のルールは、拡張機能を使用するユーザーに向けたものではなく、拡張機能の開発者向けのルールです。インターネット上で横行するフィッシング詐欺に対抗するため、Googleは全ての拡張機能の開発者に対して、アカウントログイン時に2段階認証を要求することに決めました。



これにより悪意のある第三者が開発者のアカウントをハッキングし、開発者が提供する拡張機能に悪意のあるコードを差し込むことを防ぐとのこと。2段階認証で開発者アカウントの防御性を向上させることで、拡張機能とChromeに対する信頼性を保つとしています。





Google Chromeは今後もより強力なセキュリティやプライバシー保護、パフォーマンスの保障をChrome拡張機能に対して求めていくとしています。

