Google は、Chrome ウェブストアを通じて配布されるブラウザプラグインが広告詐欺やデータ窃盗を助長しているとのセキュリティ研究者の報告を受けて、500 以上の Chrome 拡張機能を削除しました。
シスコのDuo Securityが昨年リリースしたCRXcavatorという無料の拡張機能フォレンジック分析ツールを使って、独立系情報セキュリティ担当者のジャミラ・カヤ氏は、同じようにコード化されたChrome拡張機能群を発見した。これらの拡張機能は「ユーザーを感染させ、マルバタイジングを通じてデータを盗み出し、Google Chromeウェブストアでの不正行為検出を回避しようとしていた」とカヤ氏とDuoのセキュリティエンジニアであるジェイコブ・リッカード氏は今週のブログ記事で述べている。
「Chrome拡張機能の作成者は、ユーザーから広告機能を隠蔽する拡張機能を意図的に作成していました。これは、ブラウザクライアントをコマンド&コントロールアーキテクチャに接続し、ユーザーに知られることなくプライベートな閲覧データを盗み出し、広告ストリームを通じた不正利用のリスクにユーザーをさらし、Chromeウェブストアの不正検出メカニズムを回避しようとするために行われたものです。」
Googleはここ2年ほど、Chrome拡張機能の動作を急いで見直してきました。拡張機能開発者が利用できるAPIが悪用される可能性があるためです。広告業界であるGoogleは、Chromeウェブストアに提出された拡張機能のコードを徹底的に審査し、開発者の不正行為を防ぐために必要な膨大なリソースを投入するよりも、拡張機能プラットフォームを技術的に制限することを決定しました。
セキュリティ重視のプラットフォーム改訂版であるManifest v3は現在開発中です。しかし、より自由なManifest v2に基づいて開発されたChrome拡張機能は、現在も開発・配布されています。そして、Chromeウェブストアは依然として深刻な人員不足に陥っています。
Kayaさんは、「MapsTrek Promotions」、「FreeWeatherApp Promos」、「CouponRockstar Offers」といった名前で広告をサービスとして提供する拡張機能をいくつか発見し、それらが類似のコードを共有するブラウザプラグインのネットワークの一部であることを発見しました。CRXcavatorを使用して、彼女は約70個の関連拡張機能を特定し、Googleに調査結果を提出しました。これらの拡張機能は昨年削除されたと理解しています。
その後、Googleはコードフィンガープリントを作成し、500以上の不正な拡張機能を発見し、削除しました。これらの拡張機能はChromeユーザー約170万人にインストールされていました。
Google、詐欺の急増を受けChrome拡張機能の有料アップデートを停止:不正利用の規模によりウェブストアを閉鎖
続きを読む
被害者が攻撃を受けていることを認識していたかどうかは不明です。悪意のある拡張機能は、目立たないように動作し、被害者のブラウザを一連のホストサイト(研究者によると、ほぼすべてがAWS上でホストされている)にリダイレクトすることで広告収入を得るように設計されていたようです。これらのホストサイトは、合法的なものも違法なものも含め、一連の広告を配信しています。
しかし、これらの広告は、広告主に請求され、詐欺師が発見されない限り収益の一部を得ることになるため、実際の人々には一度も見られなかった可能性がある。
「これらの大部分は、Macy's、Dell、Best Buy などの広告につながる無害な広告ストリームです」と Kaya 氏と Rickerd 氏は説明します。
「これが正当な広告ではなくマルバタイジングや広告詐欺と異なる点は、表示される広告コンテンツの量が多いこと、ユーザーがこれらの広告のほとんど、あるいは大部分を目にしていないという事実、そして悪意のある第三者がこれらのストリームを積極的に利用してユーザーをマルウェアやフィッシングにリダイレクトしているという事実です。」
「当社は研究コミュニティの取り組みに感謝しており、ウェブストアで当社のポリシーに違反する拡張機能の警告を受けた場合は措置を講じ、それらの事例をトレーニング教材として使用して、自動および手動の分析を改善します」とGoogleの広報担当者は電子メールで述べ、Duo Securityのブログ投稿で同社が提供したものと同一の声明をThe Registerに提出した。
「弊社では、同様の技術、コード、動作を使用している拡張機能を見つけるために定期的な調査を行っており、ポリシーに違反している拡張機能は削除しています。」
Googleの広報担当者は、法執行機関に通知したかどうか、また同社が悪質な拡張機能の背後にいる個人またはグループについてさらに情報を持っているかどうかに関するThe Registerからのその他の質問を無視した。
Duo Securityの広報担当者は、Kaya氏が疑わしい拡張機能を特定してからGoogleに通知するまでに2カ月かかったと述べたが、それがいつ起こったかは明らかにせず、さらなる質問はGoogleに問い合わせるよう求めた。
Kaya氏とRickerd氏は、マルバタイジングキャンペーンの背後にいる人物またはグループについて、ほとんど詳細を明らかにしていません。責任者は少なくとも2019年1月から活動を開始しており、2017年のドメイン登録日に基づくと、さらに以前から活動していた可能性があります。特定のコードパターンは、さらに遡って2010年まで遡ることを示しています。
引用されたドメイン登録記録の 1 つには個人の名前が含まれていますが、セキュリティ研究者は、この個人が、このマルバタイジング活動をサポートする登録済みドメインのいずれかに実際に関係する実在の人物であるかどうかについては立場を表明していません。
2人の研究者は、マルバタイジングプラグインはJavaScript関数の名前を変更することで検出を回避したが、基盤となるコードは変更しなかったと推測している。これが事実であれば、少なくとも現時点では、Googleの拡張機能に対するセキュリティスキャンはそれほど高度ではなかったことを示唆している。®
