Google Chromeの人気拡張機能に不正なコード混入、作者にフィッシング詐欺攻撃

「Web Developer for Chrome」がハッキングされ、不正なコードを仕込んだバージョンがアップロードされてしまっていた。

» 2017年08月03日 09時00分 公開
[鈴木聖子ITmedia]

 米GoogleのWebストアで提供されている、Chromeブラウザ向けの拡張機能「Web Developer」が何者かにハッキングされ、不正なコードを仕込んだバージョンがアップロードされる事件が起きた。作者は8月2日、更新版を公開してユーザーにアップデートを促している。

Web Developer Chrome WebストアにあるWeb Developerのダウンロードページ。現在は不正なコードを削除した最新バージョン「0.5」が公開されている

 Web Developerは各種のWeb開発ツール用のボタンをブラウザに表示するためのツールバーで、作者は米ソフトウェアエンジニアのクリス・ペデリック氏。英語版のユーザーは100万を超えている。

 ペデリック氏は8月2日、Twitterで「Web Developer for Chromeのアカウントが不正侵入され、ハッキングされたバージョンの拡張機能(0.4.9)がアップロードされた」と伝えた。

 ハッキングされた拡張機能はいったん提供を中止して、不正なコードを削除した「バージョン0.5」を改めて公開。「直ちにアップデートして下さい」と呼び掛けている。

 原因については「愚かにも自分のGoogleアカウントに対するフィッシング攻撃にだまされた」と説明した。他のChrome拡張機能でも同じような被害の発生が伝えられているという。

 英ITニュースサイトのRegisterによると、ハッキングされたWeb Developerのバージョン0.4.9では、WebからJavaScriptのコードを取得して、ブラウザに不正な広告を表示する仕掛けになっていた。このバージョンをインストールしてしまった場合、直ちにバージョン0.5に更新したうえで、0.4.9を使っている時に閲覧したWebサイトのパスワードを変更するか、ログイントークンやcookieを無効にすることを検討した方がいいとしている。

 Web DeveloperはFirefox向けにも提供されているが、こちらはハッキングの被害には遭っていないと思われるという。

Web Developer Web Developerの英語レビューページにはいまだに不具合を指摘する書き込みがある

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ