不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ
不正が相次ぐ事態に対応して、ユーザーによるコントロールの強化や、難読化されたコードのある拡張機能の締め出しを目指す。
米Googleは10月1日、WebブラウザChromeの拡張機能について、不正防止のための新たな対策を講じると発表した。悪質なコードを仕込んだ拡張機能が相次いで見つかっている事態を受け、摘発の強化を図る。
Googleの発表によると、次バージョンの「Chrome 70」からは、拡張機能によるWebサイト上のデータの読み取りや変更を許可する「ホストパーミッション」について、ユーザーがコントロールできるようにする。ユーザーは、拡張機能がホストアクセスできるサイトをカスタム版のリストに記載されたサイトに限定したり、現在閲覧中のページに対してクリックしなければアクセスできない設定を選択したりできるようになる。今後は強力な権限を持つ拡張機能に対する審査を強化する方針だ。
Chrome Web Storeでは10月1日から、難読化されたコードを含む拡張機能が許可されなくなった。これは拡張機能に組み込まれたコードだけでなく、外部のコードやWebから取得するリソースにも適用する。この方針は、新たに提出された拡張機能に対しては即日適用し、現時点で難読化されたコードがある拡張機能については、今後90日間、更新版の提出を受け付け、順守されない場合は2019年1月初旬にChrome Web Storeから削除する。
Chrome Web Storeの開発者アカウントに対しては、2019年から2段階認証を義務付ける。
また、同年には拡張機能マニフェストの次期バージョンとなる「Manifest v3」を導入し、セキュリティやプライバシー保護、パフォーマンス保証の強化を図る。Googleでは、「この先も全てのChrome拡張機能をデフォルトで信頼できるものとするために、さらに根本的な変化が必要になる」としている。
関連記事
GoogleのChromeウェブストアに偽の広告ブロッカー、約2000万人がダウンロード
偽ブロッカーの作者は検索結果の上位に来るような用語をちりばめて、ユーザーがインストールするよう仕向けていたという。
Chrome拡張機能、Google公式ストアを経由しない「インラインインストール」を段階的に廃止
新しく公開される拡張機能については、6月12日からインラインインストールができなくなり、9月12日からは既存の拡張機能についても無効になる。
Google Chromeの不正な拡張機能、大手組織を含む50万ユーザーが利用
GoogleのChrome Web Storeで提供されていた拡張機能4本に、任意のJavaScriptを不正に挿入して実行する仕組みが実装されているのが見つかった。
「オフラインGmail」Chrome拡張機能、12月3日に提供終了へ
Googleが、「Gmail」のWebアプリにオフライン機能を4月に追加したため、Chrome拡張機能の「オフラインGmail」の提供を12月3日に終了すると発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
ITmediaはアイティメディア株式会社の登録商標です。