Chrome拡張機能の危険性とは？30万人が被害に遭った悪意のある拡張機能の見分け方

Chrome拡張機能が攻撃者に狙われている

広告ブロッカー、パスワードマネージャー──Chrome拡張機能は日々のブラウジングを便利にしてくれます。しかし、悪意のあるChrome拡張機能による被害が深刻化しています。具体的には、2024年に少なくとも30万人が影響を受けました。

Chrome拡張機能はブラウザ上で強力な権限を持ちます。たとえば、Webページの内容を読み取ったり通信を傍受したりできます。つまり、この性質が攻撃者にとって魅力的なのです。

2024年に確認された悪質なChrome拡張機能キャンペーンは規模と手口で注目されました。攻撃者は正規品にそっくりな偽の拡張機能をChromeウェブストアに公開していました。

手口は複数あります。まず、需要の高いカテゴリで似た名前の拡張機能を公開する方法です。また、正規開発者のアカウントをフィッシングで乗っ取る方法もあります。

後者は特に厄介です。なぜなら、信頼済みのChrome拡張機能がアップデートでマルウェアに変貌するからです。さらに、2024年12月にはCyberhavenの拡張機能が乗っ取られる事件も発生しました。

悪意のあるChrome拡張機能がインストールされると以下の被害が起こり得ます。

認証情報の窃取。ログイン時のユーザー名とパスワードを外部送信します。つまり、あらゆるサービスのアカウントが狙われます。

検索結果の改ざん。また、Google検索結果にアフィリエイトリンクを挿入します。

ブラウジング履歴の収集。さらに、訪問サイト情報を収集し行動パターンを分析します。なお、この情報がダークウェブで販売されるケースもあります。

暗号資産の窃取。具体的には、送金先ウォレットアドレスを攻撃者のものにすり替えます。

広告の強制表示。Webページに本来ない広告を挿入します。ただし、挿入広告からマルウェアに感染するケースもあります。

Googleは審査プロセスを設けています。しかし、完璧ではありません。攻撃者は様々なテクニックを使います。

たとえば、公開時は無害なコードだけを含めます。そして、審査通過後に悪意のあるコードを追加します。また、コードを難読化して静的解析を回避します。

さらに、数日から数週間の「潜伏期間」を設けるケースもあります。そのため、Chrome拡張機能のインストールと不審な挙動の関連に気づきにくくなっています。

Chrome拡張機能を完全に使わないのは現実的ではありません。以下のポイントを意識しましょう。

インストール数とレビューを確認する。ダウンロード数が極端に少ないものは避けましょう。ただし、レビューも偽装される場合があります。

要求される権限を確認する。また、シンプルな機能なのに「すべてのデータの読み取り」を要求する場合は怪しいです。

開発元を確認する。さらに、開発者のWebサイトやGitHubリポジトリの存在を確認しましょう。

定期的に棚卸しする。chrome://extensionsを開き、使っていないものは削除しましょう。

企業ではChrome Enterprise Policyで制御する。なお、ホワイトリスト方式での管理が推奨されます。また、Chromeウェブストアの安全ガイドも参考にしてください。

Chrome拡張機能は便利です。しかし、インストールはブラウザ上の活動監視権限を第三者に与えることと同じです。つまり、本当に必要なものだけを信頼できる開発元から選びましょう。

また、フィッシング攻撃の最新動向やQuick Shareの脆弱性もセキュリティ対策の参考にしてください。