全Web担当者/制作者に告ぐ! ブラウザの不要な拡張機能を見直そう

今日は、Web担当者やWeb制作者が今後注意すべきセキュリティの話題について。というのも、ブラウザの拡張機能が原因のセキュリティ問題が発生していたのです。

有名なChrome拡張がいつのまにかマルウェアに！？

少し旧聞ですが、11月頭に、「HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。」という話題がありました。

要は、「HTTP Headers」や「Live HTTP Headers」などのメジャーなChrome拡張が、いつの間にかマルウェアのような挙動に変わっていたというもの。

今まで問題なかったChrome拡張が、自動アップデートで新しいバージョンに自動的に差し替えられ、そのChrome拡張を入れているブラウザで見ているページに特殊なJavaScriptを挿入してそのページ（に入力したフォームなど）の情報を盗んでどこかのサーバーに送信できるような状態になっていたようなのです。

セキュリティの専門家による調査では、同様の「怪しい挙動をする」Chrome拡張は30件以上あり、すでに、そのうちのかなりの数がChromeウェブストアから削除されているとのことです。

これらの拡張機能がパスワードを盗むような悪質なものかどうかは断定されていませんが、どんな挙動をしているのかわかりづらくする難読化の手法は、マルウェアそのものです。

なぜブラウザの拡張機能がマルウェアになるとそんなにまずい？

ブラウザの拡張機能は、そのブラウザアクセスしているページの情報にアクセスできます。

われわれは、ブラウザに拡張機能を追加するとき、その拡張機能は説明に書かれていることをするものだと思っています。

しかし、悪意がある拡張機能は、それ以外にさまざまなことができるのです。

わかりやすいところでは、ページの内容を変更することができます。

ただ、変更されるのは拡張機能がインストールされているブラウザで見ているページだけですので、「ページ改ざん」という問題には、（そのままでは）つながりにくいものです。

しかし、やり方によっては、かなり危険なこともできそうです。

たとえば、WordPressのログイン画面で自動入力されたユーザー名とパスワードを盗むようなこと。

または、ログイン状態を示すユーザーのクッキー情報を盗んでセッションを乗っ取るようなこと。

そうなると、サイトを改ざんするウイルスとして2009年ごろに世の中を騒がせたGumblar（ガンブラー）のような問題も起こしかねません。

私はセキュリティの専門家ではなく、拡張機能でどこまでできるのか詳しく調べられてはいません。でも、もし上記のようなことが可能なら、サイトを管理する者として恐ろしいですよね。

では、どうすればいいのか？

では、われわれはどうやって自分の身や自分のサイトを守ればいいのでしょうか。

私は、この騒ぎがあったときに、自分の使っているブラウザ（FirefoxとChrome）から、特に必要がない拡張機能を削除しました。

また、滅多に使わない拡張機能（アドオン）はいったん無効にしました。

そもそもブラウザで自由なことができる拡張機能は、必要最低限にしておくのがもともと望ましいものです。そのほうが、ブラウザの動作も軽くなりますしね。

あと、ログインが必要なサービスを使うときは、拡張機能を動作させないシークレットモードを使うようにしました。

今回問題になったのはChromeの拡張機能です。グーグル側では、問題のある拡張機能をChromeウェブストアから削除したり、その拡張機能を使っていてもリモートで無効化したりといったことを行っているようです。

また、問題だとされるコードはすでにインターネットから削除されています。

手法がバレた以上、次はおそらく同じ方法は使ってこないでしょう。また、ブラウザ側の対策も進むでしょう。

とは言うものの、サイトを管理する立場としては、これからはブラウザの拡張機能にも十分に注意する必要があるようです。いやな世の中ですね。

あなたが使っている拡張機能も、今は問題がないとしても、作者が拡張機能を悪質な業者に売却してしまえば、明日にはマルウェアになってしまうかもしれないのですから。