Googleが提供するウェブブラウザの「Google Chrome」には、ブラウジングを便利にするさまざまな拡張機能を追加できる「Chromeウェブストア」が存在します。スタンフォード大学のセキュリティ専門家チームが、Chromeウェブストアから入手した拡張機能が原因で、数億人ものユーザーがマルウェアに感染していることを報告しています。

[2406.12710] What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions

https://arxiv.org/abs/2406.12710



Security experts find millions of users running malware infected extensions from Google Chrome Web Store

https://techxplore.com/news/2024-06-experts-millions-users-malware-infected.html

Study: Millions of Google Chrome Web Store Users at Risk of Running Extensions Infected with Malware | Tech Times

https://www.techtimes.com/articles/306038/20240625/study-millions-google-chrome-web-store-users-risk-running-extensions-malware.htm

Google Chromeなどのウェブブラウザーを最大限に活用するために、ユーザーは拡張機能サイトから好みの拡張機能をダウンロードすることがあります。その中でも最も人気があり、著名なサイトがChromeウェブストアで、サードパーティーのプログラマーによって作成された無数のGoogle Chrome用の拡張機能を入手することが可能です。

しかし、サードパーティーのプログラマーが開発した拡張機能を入手して使用する際に問題となるのは、プログラマーによって品質レベルがまちまちであることや、マルウェアが含まれている可能性です。そこで、スタンフォード大学のシェリル・シュー氏らの研究チームはChromeウェブストアで配信されている拡張機能におけるマルウェアのリスクを調査しました。

研究チームは、Chromeウェブストアで配信されている数千の拡張機能のうち、Chromeウェブストアの利用規約やプライバシーポリシーに違反している拡張機能や、マルウェアや脆弱(ぜいじゃく)なコードを含む拡張機能について調査を実施。



その際、研究チームは拡張機能のセキュリティ問題に関して、過去の研究活動のデータを分析したほか、2020年7月から2023年2月の間にChromeウェブストアで利用可能だった全ての拡張機能、約12万5000件をダウンロードし、プログラムが書かれた際に使用されたコードを分析してマルウェア感染の兆候を調査しました。加えて研究チームは、拡張機能のダウンロード履歴と拡張機能の寿命も分析しています。

調査の結果、調査期間中の約2年間のうち、約3億4600万人ものユーザーがChromeウェブストアからセキュリティ上の問題がある拡張機能をダウンロードしていることが判明。さらに、そのうち2億8000万人のユーザーがマルウェアを含む可能性のある拡張機能の影響を受けていることも明らかとなっています。これまで、GoogleはChromeウェブストアでダウンロード可能な拡張機能のうち、マルウェアを含んでいるのは1%に満たないと主張していたことから、研究チームは「Googleの主張とは対照的な結果が得られた」と述べています。

研究チームはさらに、約12万5000件の拡張機能のうち、約60%が1年以内にChromeウェブストアから削除されていることを報告している一方で、一部の問題のある拡張機能が長年にわたってChromeウェブストアに残り、ユーザーにセキュリティリスクをもたらし続けていると指摘しています。その要因として研究チームは「ユーザーがこれらの問題のある拡張機能を報告することがめったにないため」と語りました。



今回分析の対象となった拡張機能の多くは、パブリックリポジトリやフォーラムから提供された同様のコードを共有しており、古くなって脆弱性が高まったコードが複数の拡張機能に使用されることで、セキュリティリスクがさらに悪化しているそうです。

また、今回の調査では、拡張機能の約60%がリリース後一度も更新されていないことが明らかとなっており、研究チームは「Chromeウェブストアをより安全にするために、拡張機能のメンテナンス方法を改善し、ユーザーとプラットフォームの両方が警戒を強める必要があります」と主張しました。