So-net無料ブログ作成

ブラウザの「拡張機能」追加は慎重に――「情報漏えい」「勝手な投稿」のおそれ [トラブルの予防]

先月の記事で、Twitterに勝手に投稿してしまう悪質なアプリの事例をご紹介した。SNSの「アプリ連携」を悪用したものだが、Facebookでは、ブラウザの「拡張機能」による同様の問題が発生している。どうやら国内のユーザーにも被害が及んでいたようだ。

トレンドマイクロは4日付の公式ブログで、Facebookのメッセンジャーを使って拡散する悪質なGoogle Chromeの拡張機能の手口を紹介し注意を呼びかけた。ブログの記事によると、少数ながら国内のユーザーにも被害が及んでいたようなので調べてみた。

■ブラウザの「拡張機能」とは

 拡張機能は、ブラウザに機能を追加する仕組みのひとつで、アドオンと総称されることもある。似たものにプラグインというものもがあるが、プラグインが外部のプログラムとやりとりする連携機能を使って機能を追加するのに対し、拡張機能はブラウザの機能を使ってプログラムする点が異なる。どちらも悪質なものをインストールすれば、ユーザーに何らかの危害が及ぶことになるが、システムレベルでインストール作業を行わなければいけないプラグインと違い、拡張機能はブラウザ上のクリック一発で簡単に組み込まれてしまう。各ブラウザの公式ストアで配布されていると、つい安心してインストールしてしまうかもしれないので注意したい。

■Facebookメッセンジャーで広がる不正なChrome拡張機能

 今回の手口は、カスペルスキーなどが8月に注意を呼びかけていたもの。知人からFacebookメッセンジャーで届く「自分の名前 Video 絵文字 短縮URL」という形式のメッセージが発端となる。短縮URLなので一見しただけではアクセス先がわからないが、実際にアクセスしてみると、Googleの正規サービスであるGoogleドキュメントのPDFファイルを表示するようになっていた。

 PDFの内容は、動画の再生画面に見せかけた画像で、クリックすると別のサイトへと移動する。そこから、使用しているブラウザや言語に応じ転送先を変えているようで、デスクトップ版のChrome以外の日本語ブラウザでは、アフィリエイト広告と同じような動作で、ランダムな広告ページへと誘導される。その中には、「本日のラッキーな訪問者はあなたです」というポップアップで始まるブラウザ調査を装う広告や、偽の警告を表示して偽マイクロソフトのサポートに電話をかけさせようとするPC用の広告、偽の警告を表示して無関係なアプリを公式ストアからダウンロードさせようとするスマートフォン用の広告などの悪質なものも含まれていた。

 ブラウザがデスクトップ版Chromeの場合には、YouTubeに偽装したサイトへと誘導され、「このビデオを見るためには、コーデック拡張機能をインストールする必要があります」と言って、「アクセスしたウェブサイト上にある自分の全データの読み取りと変更」という権限を要求するChromeの拡張機能をインストールさせようとする。この権限は、ログインページのパスワードなども含むページ内の全ての情報の窃取が可能なもので、ブラウザやWebサービスを勝手に操作されるおそれのある危険度の高い権限だ。信頼できると確信できないかぎり、このタイプの拡張機能をインストールしてはいけない。「拡張機能を追加」ボタンを押すだけで簡単にインストールできてしまうので、くれぐれも注意していただきたい。

 Chromeの拡張機能は、公式のChromeウェブストア以外からインストールすることができない。この拡張機能も公式サイトで配信されており、「ウェブストアで開く」をクリックすれば公式サイトで拡張機能の概要が確認できる。実際に確認したところ、拡張機能は登録されたばかりで、まともな説明やスクリーンショット、レビュー、デベロッパー情報などが一切ない。素性も機能も分からない、見るからに怪しい存在だった。ちなみに不正行為を報告したところ、じきにストアから削除されたが、ほどなく偽YouTubは別の拡張機能をインストールさせるように変わった。新しい拡張機能は、今しがた登録したばかりのようだった。

■拡張機能を確認する方法

 カスペルスキーのデイビッド・ヤコビー氏の記事によると、この拡張機能は、Facebookの「アクセストークン」を盗み、外部サイトに送信しているという。アクセストークンは、サービスにログインすると発行される認証済を示す情報で、これを使うとログインしたユーザーになりすました操作が行えるようになる。拡張機能インストールの発端となったメッセンジャーのメッセージが、今度は自分から知り合いに送られ拡散してしまうことになる。負の連鎖を食い止めるには、怪しい拡張機能をインストールしないようにするとともに、怪しいメッセージの送信者に事情を伝え、問題の拡張機能を削除するよう進言することが求められる。

 Chromeにインストールされている拡張機能の確認や削除は アドレスバーに「chrome://extensions」と入力するか、アドレスバーの右にある設定アイコンから[その他のツール]→[拡張機能]を選択、またはAppleメニューの[ウインドウ]→[拡張機能]で行える。インストールした覚えのないものや、よくわからないものがないかどうか、ぜひ確認しておきたい。

 インストールされている拡張機能の欄にある[詳細]や[権限]をクリックすると、拡張機能に関するより詳しい情報や、与えられている権限が表示され、ストアに行って確認することもできる。リストの右にある[有効]のチェックを外せば、表示が[有効にする]に変わり、その拡張機能が一時的に無効になる。削除する場合は、その横のごみ箱アイコンだ。

(2017/09/08 セキュリティ通信)

【関連URL】
・実例で学ぶネットの危険:不審な Facebook メッセージ、開くとどうなる?(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/15833
・Bulk messaging malware in Facebook Messenger[英文](カスペルスキー)
https://www.kaspersky.com/blog/facebook-messenger-malware/18412/
New multi platform malware/adware spreading via Facebook Messenger[英文](カスペルスキー)
https://securelist.com/new-multi-platform-malwareadware-spreading-via-facebook-messenger/81590/
Dissecting the Chrome Extension Facebook malware[英文](カスペルスキー)
https://securelist.com/dissecting-the-chrome-extension-facebook-malware/81716/

【関連記事:セキュリティ通信】
・アカウントの利用許可は慎重に――勝手にツイートする悪質アプリ続出
http://security-t.blog.so-net.ne.jp/2017-08-25
・「偽警告」の新手口に注意――MS社サイト酷似画面で警告メッセージを表示
http://security-t.blog.so-net.ne.jp/2017-02-02
・「ブラウザ:ユーザー調査」に注意、無料のつもりが課金のおそれ
http://security-t.blog.so-net.ne.jp/2016-09-01-1