ウェブブラウザの拡張機能がセキュリティの弱点になりうること、ご存じですかか?悪質な拡張機能は巧妙なサプライチェーンと難読化手法を組み合わせ、攻撃の検出と防御を難しくしています。
拡張機能は強力なツールです。ユーザーのブラウジングに関するあらゆるデータを読み取り、書き込むことができるため、悪用されると大きな問題となります。さらに多くの拡張機能は、コンピュータやスマートフォンで実行するために特別な権限を必要としません。
「より良いブラウジング体験のために、拡張機能をインストールしてください」と書かれたウェブページを見て、勢いで拡張機能をインストールしてしまう人もいます。まずは、その拡張機能が本当に必要かを考えてみましょう。
ブラウザの拡張機能はどのように悪用されるのか?
最近、サプライチェーン攻撃が注目されています。特にSolarWindsへの攻撃は(バイデン大統領も含め)多くの人の注目を集めました。しかし、アプリケーションに侵入する方法は他にもあります。
2021年3月、セキュリティ研究者のブライアン・クレブス(Brian Krebs)は、サイバー犯罪者に侵入された、古いブラウザ拡張機能について執筆しました。サイバー犯罪者は、使用されていない拡張機能の権利を購入、または開発元と交渉し、独自のコードを追加します。そして、コードに特殊なバックドアをインストールし、マルウェアを拡散します。クレブス氏は記事内で、開発者が自分のアプリケーションをテストするために使用する、ある拡張機能の経済性について説明し、何年も更新されていない人気のある拡張機能がたくさんあると述べています。
アバストの脅威研究所は2020年12月、悪質な拡張機能が採用する、難読化の仕組みに関する研究結果を発表しました。研究されたCacheFlowという拡張機能はGoogle Analyticsのトラフィックに乗っかり、ストリーム内にネットワーク操作を隠します。さらにこの拡張機能は、攻撃者に詳細な使用状況の分析情報を提供します。
Googleは以前からこの脅威を認識しており、数年前から、拡張機能のインストール方法を制限するようになりました。「インラインインストール」(どのウェブサイトからでもブラウザを入手できること)は、2018年からブロックされ、拡張機能の合法的な入手先は、Chrome ウェブストアのみとなりました。ストアでは、Googleが自動的に拡張機能を監視し、最新のアップデートを送信します。拡張機能が危険にさらされていることを発見した場合には、その拡張機能を削除します。
拡張機能の安全性を確保するには?
拡張機能によるサイバー犯罪の被害に遭わないために、アバスト セキュア ブラウザの利用をおすすめします。Google Chromeのコードをベースにしているアバスト セキュア ブラウザは、Windows、Mac、Android、iOSデバイスで利用できます。さらにアバスト セキュア ブラウザには、拡張機能ガードの設定があり、信頼できない拡張機能のインストールをブロックします。
現在使用している拡張機能を確認するには、ブラウザの右上にある3つの点をクリックし、「拡張機能」を選択します。デベロッパーモードをオンにすると、インストールされている拡張機能とその提供元が確認できます。その上で、拡張機能を特定のウェブサイトに限定すべきか、あるいは削除すべきかを判断できます。
クレブス氏は次のようにも述べています。「拡張機能は慎重に、そしてサポートされているものに限定して、インストールするべきです。また、拡張機能のアップデートが求められた際に、以前より多くの権限を要求してきた場合はアップデートに同意してはいけません。」
この記事は2021年3月11日に公開されたBeware of your browser extensionsの抄訳です。