サイバーセキュリティ企業Awake Securityは先日、大規模な秘密監視ネットワークの存在を暴露しました。これは深刻な事態であり、Chromeブラウザで怪しい拡張機能を使用していないか、今一度確認する必要があります。
Awake Securityは、GalComm社が所有するウェブドメインの60%以上が、少なくとも111個のChrome拡張機能で使用されているマルウェアやスパイツールをホストしていることを発見しました。これらの拡張機能は3,200万回以上ダウンロードされており、これはChromeウェブストアに掲載されているもののみを数えたものです。GalCommはこれらのブラウザ拡張機能を通じて、数百万もの個人および企業ネットワークにアクセスし、膨大な量のデータを収集していました。また、大規模な活動にもかかわらず、高度な回避策を用いて検出を回避していました。
悪意のある拡張機能111件の全リストは、こちらでご覧いただけます。リストは少し乱雑で、重複した拡張機能(すべて異なる拡張機能IDを持つ)が多数含まれているため、整理に時間を要しました。Chromeのインストール時に確認すべき拡張機能は以下のとおりです(「ウィンドウ」 > 「拡張機能」からアクセスできます)。見つかった場合はすぐに削除してください。
より安全に閲覧
ブラウジングプロテクター
ブラウジング安全性チェッカー
バイトフェンスセキュアブラウジング
WordをPDFに変換する
ドキュメントPDF
イージーコンバート
easyconvertデフォルト検索
gofiletopdf
マイドキュメントストゥPDF
pdf2doc
pdf-ninja-converter
PDFオープナー
クイックログイン
クイックメール
convertfilenow で検索
convertpdfpro で検索
検索マネージャー
セキュア検索拡張機能
安全なウェブ検索
Chrome 向けセキュリティ強化
docpdfコンバーター
ザイージーウェイプロ
これらのセキュアウェブ保護b
タタブ
PDFを表示
Google ストアに掲載された拡張機能は削除されており、多くはすでに無効化されているはずですが、Google 以外のソースからサイドロードした拡張機能はアンインストールする必要があります。
偽のアドオンからブラウザ(とデータ)を守る方法
これは、ここ最近で発覚した大規模なマルウェア攻撃の一つです。悪質なブラウザ拡張機能を使ってユーザーをスパイすることは目新しいことではありませんが、ますます蔓延しています。これほど多くの拡張機能が関与していたこと、そしてそのほとんどがGoogle Chromeストアで入手可能だったという事実は憂慮すべきものですが、安全を確保する方法はあります。
よく知られた情報源にこだわる
Chrome ウェブストアを閲覧する際に最も安全な方法は、認証済みの発行元が作成した、よく知られた拡張機能だけを使用することです。確かに、そうすることで、本当に探していた機能を備えた、すごくクールな拡張機能をダウンロードできなくなるかもしれませんが、データの安全性は格段に高まります。
もちろん、快適さのためにどの程度の安全性を犠牲にするかはあなた次第です。私たちは、あまり知られていない拡張機能を時々推奨することもあります。しかし、良い実績のある、まともな個人開発者を信頼することと、誰が作成したか(そして、その開発者があなたに何を求めているか)についての詳細に注意を払わずに、面白そうというだけで最初に目にした拡張機能をダウンロードすることとは全く別のことです。
クレジット: ブレンダン・ヘッセ
Chrome 拡張機能ストアには「By Google」検索フィルターがあり、ファーストパーティの拡張機能のみに絞り込むのに便利です。また、Mozilla には、より危険な領域に踏み込みたくない場合に常に信頼できる推奨 Firefox アドオンのリストがあります。
もしそうなら、ブラウザの公式ストアでホストされている拡張機能のみをインストールするのが最善です。Googleなどの企業は、自社のデジタルマーケットプレイスに許可するアドオンを徹底的に審査していますが、Awakeのレポートが示すように、悪質な開発者がプライバシーポリシーやセキュリティ機能を回避するのは容易です。
それでも、拡張機能がブラウザの公式アドオンストアに掲載されている場合、ランダムなウェブページやポップアップ広告からダウンロードするよりも、正規のものである可能性が高いです。ただし、ダウンロードしようとしているものが本当に本物であることを確認してください。拡張機能の名前、説明、詳細がすべて一致していることを確認し、拡張機能のレビューが本物というより作り話に近いかどうかを確認してください。疑わしい場合は、インストールしないでください。あるいは、より有名な代替品を探してください。
権限を確認する
スマートフォンアプリと同様に、宣伝されている用途を超えた権限を要求する拡張機能には疑いを持つべきです。同様に、冗長なタスクや不要なタスクを実行する拡張機能は絶対に避けるべきです。
これまでのところどう思いますか?
Awake Securityのレポートに掲載されているほぼすべての拡張機能は、少なくとも1つの怪しい、あるいは権限の行き過ぎた権限を求めていました。例えば、多くの拡張機能は「スクリーンショットの撮影、クリップボードの読み取り、Cookieやパラメータに保存されている認証トークンの収集、ユーザーのキー入力(パスワードなど)の取得」を求めていました。
ポップアップ広告からダウンロードを促す偽の拡張機能の例。 出典:Awake Security
ブラウザに拡張機能を初めて追加すると、拡張機能の機能一覧を示す通知がポップアップ表示されます。表示される内容に納得できない場合は、「キャンセル」をクリックしてインストールを中止してください。また、使用している拡張機能に悪意のある活動が疑われる場合は、すぐに報告してください。
プライバシーポリシーを確認する
拡張機能が機密情報にアクセス可能であり、かつ拡張機能の用途上、アクセスが必要な場合、発行元のプライバシーポリシーにおいて、当該データへのアクセス方法、保存方法、保護方法が明確に規定されていることを確認してください。プライバシーポリシーは、拡張機能のストア説明欄にリンクされているか、発行元の公式ウェブサイトに掲載されているはずです。プライバシーポリシーが明確でない場合、または情報が見つからない場合は、インストールしないでください。
プライバシーポリシーを見つけたとしても、それを信頼すべきでしょうか? 怪しい開発者が、実際にはプライバシーを尊重していないにもかかわらず、プライバシーを尊重していると主張するのは容易ですが、ポリシーの露骨な省略は、拡張機能の信頼性を判断するための新たなデータポイントとなります。
オープンソースのオプションを試す
一般的には、よく知られた検証済みの拡張機能を使用することをお勧めしますが、だからといって、小規模なサードパーティ製アドオンや非公式のダウンロードサイトが本質的に危険というわけではありません。ただし、それらには細心の注意を払う必要があります。XDAフォーラムやGitHubなどの独立した開発者が作成した、完全に安全な拡張機能も数多く存在します。
これらのプラットフォームに拡張機能が存在するからといって、必ずしも安全であるとは限らないものの、これらのオープンソースプロジェクトは透明性のあるコードとプライバシーポリシーを備えていることが多いため、審査が容易です。何を探しているのかわからない場合は、自分で調べてみましょう。フォーラムをいくつか読んでみたり、Twitterをチェックしたり、Redditをチェックしたりしましょう。インストールしたい拡張機能について、インストール前に誰かが何か警告を出していないか確認しましょう。
