編集長ブログ―安田英久

全Web担当者/制作者に告ぐ! ブラウザの不要な拡張機能を見直そう

少し旧聞ですが、Chrome拡張がいつのまにかマルウェアに変わっているというセキュリティ事件がありました

今日は、Web担当者やWeb制作者が今後注意すべきセキュリティの話題について。というのも、ブラウザの拡張機能が原因のセキュリティ問題が発生していたのです。

有名なChrome拡張がいつのまにかマルウェアに!?

少し旧聞ですが、11月頭に、「HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。」という話題がありました。

要は、「HTTP Headers」や「Live HTTP Headers」などのメジャーなChrome拡張が、いつの間にかマルウェアのような挙動に変わっていたというもの。

今まで問題なかったChrome拡張が、自動アップデートで新しいバージョンに自動的に差し替えられ、そのChrome拡張を入れているブラウザで見ているページに特殊なJavaScriptを挿入してそのページ(に入力したフォームなど)の情報を盗んでどこかのサーバーに送信できるような状態になっていたようなのです。

セキュリティの専門家による調査では、同様の「怪しい挙動をする」Chrome拡張は30件以上あり、すでに、そのうちのかなりの数がChromeウェブストアから削除されているとのことです。

これらの拡張機能がパスワードを盗むような悪質なものかどうかは断定されていませんが、どんな挙動をしているのかわかりづらくする難読化の手法は、マルウェアそのものです。

なぜブラウザの拡張機能がマルウェアになるとそんなにまずい?

ブラウザの拡張機能は、そのブラウザアクセスしているページの情報にアクセスできます。

われわれは、ブラウザに拡張機能を追加するとき、その拡張機能は説明に書かれていることをするものだと思っています。

しかし、悪意がある拡張機能は、それ以外にさまざまなことができるのです。

わかりやすいところでは、ページの内容を変更することができます。

ただ、変更されるのは拡張機能がインストールされているブラウザで見ているページだけですので、「ページ改ざん」という問題には、(そのままでは)つながりにくいものです。

しかし、やり方によっては、かなり危険なこともできそうです。

たとえば、WordPressのログイン画面で自動入力されたユーザー名とパスワードを盗むようなこと。

または、ログイン状態を示すユーザーのクッキー情報を盗んでセッションを乗っ取るようなこと。

そうなると、サイトを改ざんするウイルスとして2009年ごろに世の中を騒がせたGumblar(ガンブラー)のような問題も起こしかねません。

私はセキュリティの専門家ではなく、拡張機能でどこまでできるのか詳しく調べられてはいません。でも、もし上記のようなことが可能なら、サイトを管理する者として恐ろしいですよね。

では、どうすればいいのか?

では、われわれはどうやって自分の身や自分のサイトを守ればいいのでしょうか。

私は、この騒ぎがあったときに、自分の使っているブラウザ(FirefoxとChrome)から、特に必要がない拡張機能を削除しました。

また、滅多に使わない拡張機能(アドオン)はいったん無効にしました。

そもそもブラウザで自由なことができる拡張機能は、必要最低限にしておくのがもともと望ましいものです。そのほうが、ブラウザの動作も軽くなりますしね。

あと、ログインが必要なサービスを使うときは、拡張機能を動作させないシークレットモードを使うようにしました。

今回問題になったのはChromeの拡張機能です。グーグル側では、問題のある拡張機能をChromeウェブストアから削除したり、その拡張機能を使っていてもリモートで無効化したりといったことを行っているようです。

また、問題だとされるコードはすでにインターネットから削除されています。

手法がバレた以上、次はおそらく同じ方法は使ってこないでしょう。また、ブラウザ側の対策も進むでしょう。

とは言うものの、サイトを管理する立場としては、これからはブラウザの拡張機能にも十分に注意する必要があるようです。いやな世の中ですね。

あなたが使っている拡張機能も、今は問題がないとしても、作者が拡張機能を悪質な業者に売却してしまえば、明日にはマルウェアになってしまうかもしれないのですから。

この記事が役に立ったらシェア!
tweet23はてなブックマークに追加
みんなが読んでるWeb担メルマガで、あなたも最新情報をチェック
  • SEOやアクセス解析のなどノウハウをゲット
  • 事例やインタビューも見逃さない
  • 要チェックのセミナー情報も届く
  • 編集長コラムを一足先に読める

日本赤十字社 東日本大震災 義援金募集
みんなが読んでるWeb担メルマガで、あなたも最新情報をチェック
  • SEOやアクセス解析のなどノウハウをゲット
  • 事例やインタビューも見逃さない
  • 要チェックのセミナー情報も届く
  • 編集長コラムを一足先に読める

人気記事トップ10(過去7日間)

今日の用語

バイラル
話題や概念がウイルス(virus)のように広まっていく様子を表現する言葉。 ... →用語集へ

インフォメーション

Web担のメルマガを購読しませんか?
Web担の記事がコンパクトに毎週届くメールマガジン「Web担ウィークリー」は、10万人が読んでいる人気メルマガ。忙しいあなたの情報収集力をアップさせる強い味方で、お得な情報もいち早く入手できます。

Web担に広告を掲載しませんか?
購読者数10万人のメールマガジン広告をはじめとする広告サービスで、御社の認知向上やセミナー集客を強力にお手伝いいたします。

サイトマップ
RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

GOLD SPONSOR
さくらインターネット株式会社株式会社KDDI ウェブコミュニケーションズ株式会社日本レジストリサービスオープンテキスト株式会社トランスコスモス株式会社株式会社ハイパーボックスDomain Keeper
SPONSOR
株式会社キノトロープ株式会社アイレップ株式会社ニューズ・ツー・ユーシックス・アパート株式会社ウェブアンテナ株式会社サイバーエージェント富士通株式会社Sitecore