2022年上半期は、ブラウザー拡張機能に偽装した悪意のある拡張機能や望ましくない拡張機能が増加傾向にあり、半年で130万以上のユーザーがこの脅威に遭遇しました。これは、既に2021年全体の70%を超えています。調査チームは、ブラウザーの拡張機能を安全に利用するために、信頼できるソースの利用や拡張機能が要求する権限に注意を払うことなどを推奨しています。
[本リリースは、2022年8月16日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyの調査チームは、一見無害に見えるブラウザー拡張機能がユーザーにもたらすリスクや、アドオンの内部に脅威を潜ませるサイバー犯罪の活動を分析しました。2022年上半期だけで、130万を超えるユニークユーザーが少なくとも1回は悪意のある拡張機能や望ましくない拡張機能のダウンロードを試みました。これは、既に2021年全体の遭遇件数の70%を超えています。Google翻訳などの人気のあるアプリまたはPDF コンバーターやビデオダウンローダーなど便利な拡張機能を装ったブラウザー拡張機能の脅威は、広告の挿入、ユーザーの閲覧履歴に関するデータの収集だけでなく、ログイン認証情報を探すこともできるため、サイバー犯罪者にとって都合の良いツールとなっています。調査チームはブラウザー拡張機能を安全に利用するために、信頼できるソースの利用や拡張機能が要求する権限に注意を払うことなどを推奨しています。
カスペルスキー製品は、2020年初頭からこれまでに600万を超えるユーザーがブラウザー拡張機能に偽装した悪意のある拡張機能や望ましくない拡張機能のダウンロードをブロックしてきました。2022年上半期は増加傾向にあり、半年で130万以上のユーザーがこの脅威に遭遇しました。これは、既に2021年全体の70%を超えています。
ブラウザー拡張機能を装って最も多く拡散されたのはアドウェア(画面に広告を表示するように設計された望ましくないソフトウェア)です。このような広告は通常、正規の検索エンジンの広告ではなく、ユーザーの興味を引くために閲覧履歴に基づいてWebページにバナーを埋め込んだり、開発者が金銭を得ることができるアフィリエイトページにユーザーを誘導したりします。調査チームは、2020年1月から2022年6月までに、430万以上のユニークユーザーが、ブラウザー拡張機能に潜むアドウェアに遭遇したことを確認しました。これは、悪意のある不要な拡張機能の影響を受けたユーザー全体の約70%にあたります。
図1:アドウェアはユーザーの検索を全て追跡し、検索エンジンでアフィリエイト広告を表示して商品を宣伝することができます
悪意があったり望ましくない機能拡張であっても、公式のマーケットプレイスを介して配布されるケースが判明しています。2020年、GoogleはChrome Web Storeから106の悪意のあるブラウザー拡張機能を削除しました。これらには、クッキーやパスワードといったユーザーの機密データを抜き取るだけでなく、スクリーンショットを撮影するものもありました。このような悪意のある拡張機能は合計で3,200万回ダウンロードされ、何百万人ものユーザーのデータをリスクにさらしました。
ただし、公式のマーケットプレイスを通じた配布はそれほど頻繁ではなく、ほとんどは、主に第三者のリソースを通じて配布されます。調査チームが分析した中で最も危険な脅威ファミリーの一つである「FB Stealer」は、信用できないサイトを通じてのみ拡散されていました。FB Stealerは、従来の検索エンジンの置き換えやアフィリエイトページへのリダイレクトに加えて、Facebookからユーザーの認証情報を盗み取ることができます。
FB Stealerはトロイの木馬「NullMixer」を介して配布されます。これは、ユーザーが第三者のリソースから、改造されたソフトウェアインストーラーを偽装したNullMixerをダウンロードすることで受け取ります。NullMixerはダウンロード先のデバイスにFB Stealerを自己インストールしますが、無害で標準的な外観のChrome拡張機能であるGoogle翻訳を模倣しているため、疑わしく見えません。
図2:トロイの木馬「NullMixer」は、改造されたさまざまなソフトウェアインストーラーを介して拡散されます
FB Stealerを起動した後、トロイの木馬NullMixerは、Facebookのセッションクッキー(ユーザーがログイン状態を維持するためにブラウザーに保存された識別データ)を抽出し、攻撃者のサーバーに送信することができます。これらのクッキーを使って、攻撃者は犠牲となったユーザーのFacebookアカウントを乗っ取り、その知人たちに金銭を無心し、本人がアカウントのアクセスを取り戻す前にできるだけ多くの金銭を得ようとします。つまり、よくわからない第三者のリソースから改造されたソフトウェアインストーラーをダウンロードした後に、予想もしていなかった脅威を受け取り、多くの知人が金銭を失うことになってしまいます。
Kasperskyのシニアセキュリティリサーチャー アントン・イワノフ(Anton V. Ivanov)は次のように述べています。「私自身はブラウザー拡張機能を積極的に使用しており、アドオンによってオンライン上の体験が向上すると考えています。例えば、パスワード管理など一部の拡張機能には、デバイスをより安全にするものさえあります。重要なことは、ブラウザー拡張機能の開発者の評判が高く信頼できるか、そして拡張機能がどのような権限を要求するのかに注意を払うことです。ブラウザー拡張機能を安全に使用するための推奨事項を守れば、脅威に遭遇するリスクを最小限に抑えることができます」
■ 危険に見えないブラウザーの拡張機能の詳細については、Securelistブログ(英語)「Threat in your browser: what dangers innocent-looking extensions hold for users」でご覧いただけます。
ブラウザー拡張機能に潜む脅威から身を守るために、次のことを推奨しています:
・信頼できるソースからのみソフトウェアをダウンロードすること。マルウェアや望ましくないアプリケーションは多くの場合、公式Webストアと同じようには安全性をチェックしない第三者のリソースを通じて配布されます。これらのアプリケーションは、ユーザーが気付かないうちに悪意があったり望ましくないブラウザー拡張機能をインストールし、その後、そのほかの悪意のある活動を実行する可能性があります。
・拡張機能はブラウザーに特別な機能を追加するため、さまざまなリソースと権限へのアクセスを必要とします。アドオンからの要求は、同意する前に慎重に検討してください。
・一度に使用する拡張機能の数を制限し、インストールされている拡張機能を定期的に確認すること。使用しなくなった拡張機能や見覚えのない拡張機能はアンインストールします。
・堅牢なセキュリティソリューションを使用する。カスペルスキー インターネット セキュリティにあるようなプライバシー保護ウィンドウの使用は、Web上のトラッキングを回避し脅威から身を守る上で役に立ちます。