ブラウザ拡張機能の汚染と言われる、悪意のあるコードの混入や不正利用は、現在、非常に深刻かつ巧妙なサイバーセキュリティ上の脅威となっています。
「いかほどか」という問いに対しては、「数百万人のユーザーが日常的に被害に遭っており、公式ストアですら完全に安全とは言えないレベル」というのが現実的です。
具体的にどのような状況なのか、以下の5つのポイントで解説します。
1. 公式ストアの「壁」を突破する巧妙さ
Google ChromeやMicrosoft Edgeの公式ストアでは審査が行われていますが、悪意のある開発者はこれをすり抜けます。
最初は「便利なツール」としてクリーンな状態で公開し、ユーザーが増えた数ヶ月後に、アップデートを通じて悪意のあるコードを忍び込ませます。これは時間差攻撃です。
また、コードを複雑にして、自動スキャンでは検知できないように細工します。これは難読化です。
2. 「買収」による汚染
これが最も一般的で恐ろしいパターンです。人気はあるが収益化できていない拡張機能の作者に対し、企業が「高値で買い取りたい」と持ちかけます。開発者の交代ということです。
買収された後に豹変します。次のアップデートで密かに、「データ収集機能」や「広告注入コード」が追加されます。ユーザーは信頼していたツールが突然「毒」に変わったことに気づけません。
3. 具体的な被害の内容
汚染された拡張機能が何をするのか、その影響は広範囲に及びます。例えば、閲覧履歴の窃取です。どのサイトを見たか、何を検索したかをすべて外部サーバーに送信します。
また、パスワードやクレカ情報の窃取もあります。ログイン画面で入力した内容を盗み取ります。コンピューターのキーボードからの入力内容を記録する、キーロガー的動作が行われます。
そして、クッキーの盗用もあります。ログイン状態を維持する「セッションクッキー」を盗み、二段階認証を突破してアカウントに不正アクセスします。
さらに、検索結果の改ざんを行うこともあります。検索結果に広告を紛れ込ませたり、フィッシングサイトへ誘導したりします。
4. 汚染の規模感
過去の調査において、カスペルスキーやMcAfeeなどでは、数百万回以上ダウンロードされた数十個の拡張機能が、一斉に不正広告表示として機能していた事例が、何度も報告されています。
Googleも対策を強化しており、2024年以降は「Manifest V3」という新しい規格への移行によって、拡張機能が勝手に外部からスクリプトを読み込むことを制限しようとしていますが、それでも完全にゼロにはできていません。
5. 私たちができる防御策
「汚染」は目に見えないため、以下の「拡張機能の断捨離」と「警戒」が不可欠です。個人的には、複数同じものが入っていました。必要だったので一つだけ残し、ついでにいらないものは削除しました。
要するに、使っていない拡張機能はすぐに削除する。数が多ければ多いほど、リスクの窓口が増えることになります。
また、「アクセスしたウェブサイトのすべてのデータの読み取りと変更」という権限を求めてくるものは、その機能が本当に必要か疑ってみることです。有名な企業や、信頼できるオープンソースプロジェクトのものか確認することが重要です。
加えて、最終更新日を見るのも対策になります。数年も更新されていないものは、脆弱性が放置されているか、乗っ取りのリスクがあります。
以上のようなことから、ブラウザ拡張機能の汚染は、「便利な道具に見せかけたトロイの木馬」として定着しています。ブラウザは「銀行取引」から「SNSのプライベートな会話」まで、あなたの人生の情報のほとんどを扱う場所です。
そこに、「得体の知れない他人のコード」を常駐させることの危うさを、よく認識しておく必要があります。