ニュース
ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード
2020年12月17日 15:20
セキュリティ企業のAvast Softwareは16日(現地時間)、Google ChromeおよびMicrosoft Edge向けに提供されているサードパーティ製拡張機能の少なくとも28種類にマルウェアが組み込まれていることを確認したと発表した。
この手のマルウェアはユーザーを広告サイトやフィッシングサイトに誘導したり、個人情報を盗んだりといった不正を働くもので、世界中ですでに約300万人が影響を受けたとされる。
マルウェアが確認された拡張機能は、Webサイトから動画をダウンロードするためのものなど、以下のものが発見。JavaScriptベースの拡張機能の内部に悪意のあるコードが書かれており、マルウェアをパソコンにダウンロードする仕様になっていた。
- Direct Message for Instagram
- DM for Instagram
- Invisible mode for Instagram Direct Message
- Downloader for Instagram
- Instagram Download Video & Image
- App Phone for Instagram
- Stories for Instagram
- Universal Video Downloader
- Video Downloader for FaceBook
- Vimeo Video Downloader
- Volume Controller
- Zoomer for Instagram and FaceBook
- VK UnBlock. Works fast.
- Odnoklassniki UnBlock. Works quickly.
- Upload photo to Instagram
- Spotify Music Downloader
- Stories for Instagram
- Upload photo to Instagram
- Pretty Kitty, The Cat Pet
- Video Downloader for YouTube
- SoundCloud Music Downloader
- The New York Times News
- Instagram App with Direct Message DM
これらの拡張機能はユーザーがWebサイトのリンクをクリックしたさいに、攻撃者のサーバーにその情報を送るようになっており、攻撃者はリダイレクトで乗っ取り用URLに行くように仕向けつつ、ユーザーが実際に訪問したいWebサイトにリダイレクトする。
ユーザーのクリック情報は筒抜けとなり、誕生日、メールアドレス、デバイス情報、最初のサインイン時間、最後にログインした時間、デバイス名、OS、使用しているブラウザとそのバージョン、IPアドレスなどが攻撃者に知られることになる。
Avastは、こうした動きにはトラフィックを収益化しようとする目的が背景にあるという。サードパーティのドメインにリダイレクトが行なわれるたびに、サイバー犯罪者が報酬を受けとっており、さらにユーザーを広告やフィッシングサイトに誘導して儲けるといったことも行なわれているとする。
Avastはこういった拡張機能の不正なコードは、最初から意図的に組み込んであったか、人気が出た後でアップデートとして組み込んだかといった方法のほか、拡張機能の作者がそのソフトウェアを売り、購入者が後から組み込んだといったやり口が考えられるとしている。
Avastのチームは今年(2020年)の11月からこの手の脅威の監視をはじめたが、その以前からすでに悪用されている可能性があるとし、ChromeのWebストアで2018年に拡張機能にバックドアが仕掛けられていると言及されているものがあったという。拡張機能による攻撃はインストール後に数日経ってから行動し、セキュリティソフトで発見するのは困難だという。
さらに、自身を隠すという性質があり、たとえばユーザーが誘導先のドメインを検索していたり、Web開発者である場合には悪意のある行動が露見してしまう可能性があるため、なりを潜めて感染させないといった挙動を示すようだ。
AvastはすでにGoogleとMicrosoftに情報を提供しており、両者はこの問題を調査しているという。また現状では問題が解消されるまで拡張機能を無効化するかアンインストールし、アンチウイルススキャンでマルウェアを取り除くように推奨している。