Googleは今週、「あらゆるソフトウェアと同様に、拡張機能もリスクをもたらす可能性がある」と認めながらも、Chrome拡張機能の検査により悪意のあるコードのほとんどが捕捉されていると保証した。
偶然にも、米国のスタンフォード大学とドイツのCISPAヘルムホルツ情報セキュリティセンターに所属する3人の研究者が、ブラウザ拡張機能がもたらすリスクはGoogleが認めているよりもはるかに大きいことを示唆する最近のChromeウェブストアのデータに関する論文を発表した。
論文「Chrome ウェブストアには何がある? セキュリティ上注目すべきブラウザ拡張機能の調査」は、7 月に開催される ACM Asia Conference on Computer and Communications Security (ASIA CCS '24) で発表される予定です。
木曜日、GoogleのChromeセキュリティチームのベンジャミン・アッカーマン氏、アヌノイ・ゴーシュ氏、そしてデビッド・ウォーレン氏は、「2024年には、Chromeウェブストアからインストールされた拡張機能のうち、マルウェアが含まれていることが判明したのは1%未満でした。この記録は誇らしいことですが、それでも悪質な拡張機能が未だにインストールを許してしまうため、公開済みの拡張機能も監視しています」と主張しました。
研究者のシェリル・スー氏、マンダ・トラン氏、オーロア・ファス氏による定義と測定によると、「一部の悪質な拡張機能」は相当数に上ることが判明しました。彼らの研究論文で述べられているように、セキュリティ上注目すべき拡張機能(SNE)は依然として深刻な問題です。
SNEとは、マルウェアを含む、Chromeウェブストアのポリシーに違反する、または脆弱なコードを含む拡張機能と定義されています。したがって、単に悪意のある拡張機能の集合を指すよりも、より広範なカテゴリです。
ブラウザ拡張機能は、機密情報へのアクセスを可能にするため、長らく懸念の対象となってきました。付与された権限によっては、ブラウザに出入りするデータを閲覧できる可能性があります。悪意のある人物は、拡張機能をマルウェアの拡散、ユーザーの追跡・監視、データの窃盗に利用してきました。しかし、ほとんどの拡張機能は無料であるため、ブラウザストア運営者がセキュリティ対策に充てられるような収益源はこれまでほとんどありませんでした。
しかし、拡張機能のセキュリティは無視できません。Googleが数年前にブラウザ拡張機能のアーキテクチャを再定義する取り組み(Manifest v3と呼ばれる取り組み)を開始した理由の一つは、拡張機能の悪用の可能性を制限することでした。
しかし研究者らによると、Google の努力にもかかわらず、Chrome ウェブストアには危険な拡張機能が豊富に存在しているという。
これらのSNEは重大な問題です。過去3年間で3億4600万人以上のユーザーがSNEをインストールしました。
「これらのSNEは重大な問題であることがわかりました。過去3年間で3億4,600万人以上のユーザーがSNEをインストールしました(マルウェア2億8,000万件、ポリシー違反6,300万件、脆弱性300万件)。さらに、これらの拡張機能は[Chromeウェブストア]に何年も掲載されているため、拡張機能の徹底的な審査と影響を受けるユーザーへの通知がこれまで以上に重要になっています。」と著者らは主張しています。
著者らは、2020年7月5日から2023年2月14日までの間に利用可能だったChrome拡張機能のデータを収集・分析しました。その時点でChromeウェブストアには約12万5000個の拡張機能が存在していました。そのため、これらの調査結果は必ずしもChromeウェブストアの現在の状況を反映するものではありません。
研究者らは、Chrome 拡張機能が長く残らないことが多いことを発見した。「1 年後もまだ利用できる拡張機能は 51.86 ~ 62.98 パーセントにすぎない」と論文には記されている。
しかし、悪意のある拡張機能は長期間存在することもあります。論文によると、マルウェアを含むSNEはChromeウェブストアに平均380日間、脆弱性のあるコードのみを含む場合は1,248日間掲載されています。最も長く掲載されていた悪意のある拡張機能は、ストアで8.5年間掲載されていました。
「この拡張機能『TeleApp』は、2013年12月13日に最終更新され、2022年6月14日にマルウェアが含まれていることが判明しました」と論文は主張している。「このような拡張機能は、ユーザーのセキュリティとプライバシーを長年にわたり危険にさらすため、これは極めて問題です。」
- GoogleはChromeの広告ブロッカー拡張機能の全面的見直しを本格的に推進する
- Chromeユーザーの皆様へ:拡張機能が悪意ある者の手に渡る危険がある場合に警告を受信
- 30万人以上のユーザーを抱えるChrome拡張機能の開発者が、売り切れへの絶え間ないプレッシャーを語る
- 200万人以上のユーザーを抱えるChrome拡張機能が所有者を変え、警告が出され、アップデートが文書化されていない場合、何が起こるでしょうか?調べてみましょう。
専門家らはまた、ストアの評価システムは良質な拡張機能と悪質な拡張機能を区別するのに効果的ではないようだと指摘している。これは、悪質なSNEに対するユーザー評価が、無害な拡張機能とそれほど変わらないためだ。
「全体的に、ユーザーはSNEに低い評価を与えていない。これは、ユーザーがそのような拡張機能が危険であることに気づいていない可能性を示唆している」と著者らは述べている。「もちろん、ボットがこれらの拡張機能に偽のレビューと高評価を与えている可能性もある。しかし、SNEの半数にはレビューがないことを考えると、今回のケースでは偽のレビューが広く行われているわけではないようだ。」
いずれにせよ、品質ガイドとしてのユーザーレビューの無価値さは、Google による監視強化の必要性を強調していると彼らは言う。
著者らの提案の一つは、Googleが拡張機能のコードの類似性を監視することです。著者らは、類似したコードを共有する拡張機能が数千件あることを発見しましたが、これは一般的に良くない習慣だと指摘しています。Stack Overflowからのコピー&ペースト、AIアシスタントのアドバイスの活用、あるいは単に古い定型文やライブラリを実装するだけで、脆弱なコードが拡散する可能性があります。
「例えば、およそ 1,000 の拡張機能がオープンソースの Extensionizr プロジェクトを使用しており、そのうちの 65 ~ 80% は 6 年前にツールに最初にパッケージ化されたデフォルトの脆弱なライブラリ バージョンを今でも使用している」と著者らは指摘している。
また、Chrome ウェブストアの拡張機能の「重大なメンテナンス不足」も指摘しています。拡張機能の約 60% は一度も更新されておらず、Manifest v3 プラットフォーム改訂版に組み込まれているようなセキュリティの改善を見逃していることになります。
脆弱な拡張機能を検出することは重要ですが、開発者が脆弱性を修正することを奨励し、サポートするためのより良いインセンティブも必要です。
メンテナンスが不足しているため、脆弱性が公表されてから何年も拡張機能がストアに残ってしまう可能性があります。「184個の拡張機能のうち少なくとも78個(42%)が、公表から2年経ってもCWSに残っており、依然として脆弱な状態です」と研究者らは述べています。「これは、脆弱な拡張機能を検出することは重要ですが、公表後に開発者が脆弱性を修正するよう促し、支援するためのより良いインセンティブも必要であることを示しています。」
多くの拡張機能には脆弱なJavaScriptライブラリが組み込まれています。チームは、拡張機能の3分の1(約4万個)が既知の脆弱性を持つJavaScriptライブラリを使用していることを発見しました。「8万件以上の脆弱なライブラリの使用を検出し、約5億人の拡張機能ユーザーに影響を与えています」とチームは主張しています。
スタンフォード大学の学部生研究者で、この論文の共著者でもあるシェリル・スー氏は、The Registerへのメールで、拡張機能のセキュリティは向上していると考えていると述べた。「拡張機能が始まったばかりの10年前と比べて、今は(特に多くの研究者が脆弱性を発見してくれたおかげで)リスクに対する認識が高まっていると思います」と彼女は述べた。
Hsu 氏は、更新された拡張機能や脆弱なライブラリを含む拡張機能にフラグを立てることは価値があると考えている、と述べた。
広告ブロッカーやブラウザのプライバシー拡張機能のメーカーは、終わりが近いことを懸念している
2022年から
「しかし、アップデートされていないものは必ずしも脆弱ではない可能性があるため、注意を払うことも重要です(例えば、アップデートする必要のない非常にシンプルなアプリなど)。また、拡張機能が脆弱なライブラリを使用しているからといって、その脆弱性が悪用されるとは限りません」と彼女は述べた。「実際には、拡張機能がライブラリのどの部分を使用しているかによって異なります。」
「サイバーセキュリティの難しいところは、常に、ユーザーが情報に基づいた選択を行えるよう正しい情報を提供する方法を見つけることですが、多くのユーザーにはこうしたことを深く調べるだけの技術的な知識や時間がないということも認識する必要があると思います。」
Hsu氏は、「Manifest v2を無効化すれば間違いなくこれらの問題は解決するはずだ。すぐに無効化されることを期待する」と付け加えた。
Chrome Manifest v2 拡張機能は、さらなる遅延がない限り、2025 年の初めに Chrome の一般リリース バージョン (安定チャンネル) で動作しなくなる予定です。
Googleの広報担当者は金曜日にThe Registerに次のように語った。
「当社は最近、潜在的にリスクのある拡張機能に対するユーザーの意識をさらに高める新しいツールもリリースしており、この分野への投資を継続していきます」と担当者は付け加えた。®