Google Chromeの人気拡張機能に不正なコード混入、作者にフィッシング詐欺攻撃
「Web Developer for Chrome」がハッキングされ、不正なコードを仕込んだバージョンがアップロードされてしまっていた。
米GoogleのWebストアで提供されている、Chromeブラウザ向けの拡張機能「Web Developer」が何者かにハッキングされ、不正なコードを仕込んだバージョンがアップロードされる事件が起きた。作者は8月2日、更新版を公開してユーザーにアップデートを促している。
Web Developerは各種のWeb開発ツール用のボタンをブラウザに表示するためのツールバーで、作者は米ソフトウェアエンジニアのクリス・ペデリック氏。英語版のユーザーは100万を超えている。
ペデリック氏は8月2日、Twitterで「Web Developer for Chromeのアカウントが不正侵入され、ハッキングされたバージョンの拡張機能(0.4.9)がアップロードされた」と伝えた。
ハッキングされた拡張機能はいったん提供を中止して、不正なコードを削除した「バージョン0.5」を改めて公開。「直ちにアップデートして下さい」と呼び掛けている。
原因については「愚かにも自分のGoogleアカウントに対するフィッシング攻撃にだまされた」と説明した。他のChrome拡張機能でも同じような被害の発生が伝えられているという。
英ITニュースサイトのRegisterによると、ハッキングされたWeb Developerのバージョン0.4.9では、WebからJavaScriptのコードを取得して、ブラウザに不正な広告を表示する仕掛けになっていた。このバージョンをインストールしてしまった場合、直ちにバージョン0.5に更新したうえで、0.4.9を使っている時に閲覧したWebサイトのパスワードを変更するか、ログイントークンやcookieを無効にすることを検討した方がいいとしている。
Web DeveloperはFirefox向けにも提供されているが、こちらはハッキングの被害には遭っていないと思われるという。
関連記事
- Cisco、Google Chrome向け拡張機能「WebEx」の深刻な脆弱性を修正
悪用された場合、攻撃者が特定のパターンのURLをWebサイトに仕込んでユーザーに参照させ、WebExセッションを開始させることによって任意のコードを実行できてしまう恐れがある。 - Google Chromeに拡張機能マルウェア、Facebookで勝手に「いいね」
Facebookで悪質なコンテンツに「いいね」をさせるChromeの拡張機能が見つかった。「Googleはこれほど露骨なセキュリティホールを野放しにしている」と研究者は批判する。 - 広告を挿入する迷惑拡張機能、Googleユーザーの5%強に影響
Google閲覧者の5%強に広告インジェクタがインストールされていた。不正なChrome拡張機能が1400万のユーザーに影響を及ぼしていることが分かり、無効化措置が取られた。 - Google、Chrome拡張機能の登録義務付け、対象をWindowsやMacにも拡大
Chrome開発版はウェブストア登録義務の対象外だったが、ユーザーに開発者版を使わせて不正な拡張機能をインストールさせる手口が出現した。 - スパム目的のChrome拡張機能買収が横行
例えば3万人のユーザーがいた無料のChrome拡張機能「Add to Feedly」の場合、開発者から数千ドルで買収した業者が拡張機能をアップデートし、広告表示に利用した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.