約600万人のユーザーを擁する57個のGoogle Chrome拡張機能に、閲覧行動の監視、Cookieへのアクセス、リモートスクリプトの実行など、非常に危険な機能が備わっていることが判明したと、拡張機能専門のセキュリティ企業であるSecure Annexが報告しました。

Searching for something unknow | Secure Annex

https://secureannex.com/blog/searching-for-something-unknow/

Chrome extensions with 6 million installs have hidden tracking code

https://www.bleepingcomputer.com/news/security/chrome-extensions-with-6-million-installs-have-hidden-tracking-code/

Secure Annexの創業者であるジョン・タックナー氏は、Chrome向けの拡張機能のチェック中に、Chromeウェブストアで「非公開」になっている拡張機能132個を特定しました。

非公開の拡張機能とは、Google検索やChromeウェブストアでの検索に引っかからないように設定されていて、URLに直接アクセスしなければダウンロードできないようになっている拡張機能です。その多くは、企業の社内ツールや開発中の拡張機能で、非公開になっているのは意図せずに一般ユーザーがダウンロードしてしまわないようにするためですが、人目を引かないようにこっそりとマルウェアを拡散させるのに利用されているケースも少なくないとのこと。



案の定、タックナー氏は「Fire Shield Extension Protection」という疑わしい拡張機能を見つけました。この拡張機能は、ブラウザの拡張機能をチェックして問題を見つけたら警告することをうたい文句にした拡張機能で、ユーザー数は30万人、評価は2.2でした。ユーザー数が多い割に評価が低い点が目に付きますが、エンタープライズ向けの非公開拡張機能は使い方が難しかったり、そもそも普通の用途では使えなかったりして評価が低くなりがちなので、特に不自然というわけではないとのこと。

しかし、問題の拡張機能を解析したタックナー氏は、ブラウザから機密データを収集して送信するためのAPIへのコールバックが非常に難読化された状態で仕込まれているのを突き止めました。

そして、拡張機能から抽出したURLに含まれていた「unknow.com」というスペルミス混じりのURLを手がかりに、芋づる式に同様の拡張機能34個を発見しました。



タックナー氏はこれらの拡張機能について、「訪問した上位サイトをリスト化したり、タブを開閉したり、訪問した上位サイトを取得したり、アドホックな方法でこれらの機能を実行したりする機能などがあることから、重大なコマンド&コントロールが行われていることがうかがえます。完全に検証されたわけではありませんが、『悪意ある拡張機能からユーザーを保護する』といったシンプルな機能が主張されている35個の拡張機能にこのような機能が存在することは、非常に懸念すべきことです」と述べました。

その後の調査により、同一の組織によって開発されたと思われる拡張機能がさらに22個見つかり、のべ約600万回ダウンロードされた合計57個の拡張機能が特定されました。



57個の拡張機能の完全なリストはこのリンクから見ることができます。リストの中には、非公開の拡張機能だけでなく、クーポンの配布やキャッシュバックのオファーを通知することをうたい文句に一般公開され、70万人のユーザーを抱える「Cuponomia」などもあります。

GoogleはIT系ニュースサイトのBleepingComputerの問い合わせに対し、タックナー氏のレポートを認識しており、問題の拡張機能についても調査中だと回答しました。しかし、CuponomiaやFire Shield Extension Protectionは記事作成時点でもChromeにインストールできる状態が続いています。

BleepingComputerは「万が一これらの拡張機能がブラウザにインストールされていた場合は、ただちに削除し、万全を期すためにオンラインアカウントのパスワードを変更することをお勧めします」と呼びかけました。