Chrome拡張機能は本当に安全なのか? Googleと研究者らの主張が食い違う:セキュリティニュースアラート
GoogleはChrome拡張機能の安全性を確保するため拡張機能ページの警告機能、公開前の審査システム、公開後の監視体制を強化している。一方、研究者らの評価は懐疑的で悪意ある拡張機能のリスクがGoogleの認識よりも大きいと指摘している。
Googleは2024年6月20日(現地時間、以下同)、「Google Chrome」(以下、Chrome)の拡張機能の安全性確保への取り組みを報告した。
Chromeは本当に安全? Googleの主張と研究者らの指摘
Chromeは拡張機能を利用することでさまざまな機能を後から追加できる。拡張機能を利用できることはユーザーがChromeを選択する理由の一つでもある。だが、サイバー脅威者によって悪用される標的にもなっており、拡張機能を“隠れみの”にしてマルウェアが配布されていることが問題視されている。
Googleは長年にわたって拡張機能にマルウェアが混入しないようにする取り組みを続けている。今回は特に次の3つについて伝えている。
- 拡張機能の概要ページ: 「chrome://extensions」「パズルアイコン→拡張機能の管理」「メニュー→拡張機能→拡張機能の管理」などの方法で「拡張機能ページ」を表示できる。このページはセキュリティリスクをもたらす可能性がある拡張機能など、何らかの理由でアンインストールが推奨される拡張機能を利用していると警告が表示されるように変更されており、簡単に有害な拡張機能の除去ができる
- 公開前の拡張機能の確認: Googleは拡張機能が「Chrome ウェブストア」で公開される前に、機械学習システムによる自動レビューやチームメンバーによる手動レビューが実施される。この段階で圧倒的多数の悪意ある拡張機能が検出され排除される
- 公開後の拡張機能の監視: 公開後の拡張機能についても機械や人間によるレビューを実施している。また、セキュリティ研究者と連携し、ユーザーに脅威をもたらす可能性がある拡張機能を検出している
Googleは悪意ある拡張機能の被害者にならないように、ユーザーに以下の次のプラクティスを推奨している。
- インストール前の確認: 確認済みバッジやおすすめバッジがついている拡張機能を選択する、ユーザーからの評価とレビューを参考にする、開発者に関する情報を確認する、拡張機能が個人情報をどのように扱うのかを確認する、拡張機能をすぐにインストールするように促すWebサイトに注意する
- インストール済み拡張機能を確認する: chrome://extensionsでリスクをもたらす可能性のある拡張機能を確認する、使用しなくなった拡張機能はアンインストールする、Chrome ウェブストアで拡張機能の説明を確認するとともに評価やレビュー、プライバシーに関する情報を確認し、信頼できないものはアンインストールする。また、拡張機能が作業するアクセス許可を持つサイトは制限する
- 保護機能を有効にする: セーフブラウジングの強化保護モードを有効化する。chrome://settings/securityから有効にする
Googleは説明の中で、2024年にChrome ウェブストアからのインストールのうちマルウェアが含まれていた割合は1%未満だったとして、この記録を優れたものとして評価している。
しかし、英国のITニュースメディア「The Register」はGoogleのこの発表を受けて、Chrome ウェブストアから悪意ある拡張機能を取得するリスクはGoogleが示しているものよりもはるかに悪いものだと指摘した。
研究者らが2024年6月23日に論文「[2406.12710] What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions」をインターネットに公開しており、この研究成果を引き合いに出す形でChrome ウェブストアの拡張機能がもたらすリスクはGoogleが認識しているものよりもはるかに大きいと説明した。
研究者らは今回、かなりの数のユーザーがすでに悪意ある拡張機能をインストールしていること、そうした拡張機能は何年もChrome ウェブストアにとどまっていること、ユーザーレビューが悪い拡張機能を区別するために効果的ではないこと、拡張機能の多くが古い脆弱なライブラリーを使い続けていること、メンテナンスされていない拡張機能が相当数存在していることなどを指摘している。
Google Chromeの拡張機能は強力であり、ユーザーの個人情報にアクセスすることもできる。サイバー脅威者はWebブラウザ拡張機能がマルウェアの感染やマルウェアそのものの隠れみのとして優れていることをすでに知っており、拡張機能にマルウェアを仕込む方法の模索と改善を続けている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。
ドワンゴを狙ったサイバー攻撃はランサムウェアだと判明 復旧の見込みは?
ドワンゴは2024年6月8日に発生した「ニコニコ」を含むKADOKAWAグループで発生しているセキュリティインシデントがランサムウェア攻撃によるものであることを明らかにした。
“広報部システム課”が大活躍するアニメ『こうしす!』から得られる教訓
皆さんは社内システムエンジニアの悲哀を描く技術系コメディーアニメ作品『こうしす!』をご存じでしょうか。今回はセキュリティ担当者であれば思わず「あるある……」とうなってしまうこのアニメから得られる教訓を紹介します。
VMware vCenter Serverなどに複数の脆弱性 深刻度「緊急」もあり対処が必要
VMwareはvCenter ServerおよびCloud Foundationを含む製品に影響する重大な脆弱性への対策を発表した。修正された脆弱性の中には深刻度「緊急」(Critical)と評価されているものもあり、注意が必要だ。