悪質なChromeのインストールで約200万人が被害に遭う ― 今すべきこと

Google Chromeウェブストアで見つかった悪質な拡張機能は170万回ダウンロードされています。Bleeping Computerによると、これらの危険なアドオンは依然として合法的なツールとして大部分が機能していますが、同時にブラウザアクティビティやユーザーを追跡し、マルウェアを拡散する可能性のあるウェブアドレスにユーザーをリダイレクトする可能性もあります。

セキュリティセルフプロビジョニングソフトウェアのプラットフォームを提供するKoi Securityの研究者によって発見された、問題の拡張機能は、VPNや天気予報、テーマ、キーボードなど多岐にわたります。研究者らはこれらの拡張機能についてGoogleにも報告しており、一部は削除されましたが、一部は引き続き利用可能です。

問題となる拡張子は次のとおりです。

• カラーピッカー、スポイト
• オンライン絵文字キーボード
• 無料の天気予報
• ビデオスピードコントローラー - ビデオマネージャー
• Discordのロックを解除 — どこからでもDiscordのブロックを解除できるVPNプロキシ
• ダークテーマ - Chrome 用ダークリーダー
• ボリュームマックス — 究極のサウンドブースター
• TikTokのブロックを解除 — ワンクリックプロキシでシームレスにアクセス
• YouTube VPNのロックを解除
• TikTokのロックを解除
• 天気

そのうちの少なくとも 1 つである「Volume Max – Ultimate Sound Booster」は、ユーザーをスパイする可能性があることを懸念する別の研究者グループによって以前に警告されていました。

拡張機能の多くは検証済みで、何百もの肯定的なレビューがあり、目立つように掲載されていますが、これはユーザーにその安全性について誤解を与えるだけでなく、これらの拡張機能が脅威アクターによってハイジャックされ、悪意のあるコードを導入した可能性を示唆する可能性もあります。

悪意のあるコードはアップデートを通じて後から導入されたが、Google の自動アップデート システムはユーザーの操作を必要とせずに最新バージョンをユーザーに展開するため、ユーザーが知らないうちにコードがユーザーに公開された。

Chrome 拡張機能 API は、悪意のある拡張機能によってバックグラウンドで機能を実行するために使用され、ユーザーが新しい Web ページに移動するたびにトリガーされるリスナーを登録します。

このリスナーは新しいウェブページのURLをキャプチャし、各ユーザーの追跡IDとともにリモートサーバーに情報を盗み出します。リモートサーバーはリダイレクトURLで応答し、ユーザーのブラウジングアクティビティを乗っ取り、安全でないページへ誘導する可能性があります。これはサイバー攻撃につながる可能性があります（ただし、Koi Securityのテストではこのような事例は確認されていません）。

Koi Security は、Microsoft Edge の公式ストアでも同様の行為を発見しました。ダウンロード数は合計 60 万件で、研究者らによると、これらを合わせると、これまでに記録された中でも最大規模のブラウザ ハイジャック活動の 1 つとなります。

悪質な拡張機能をダウンロードしてしまった場合の対処法

まず、リストされている拡張機能をすべてお使いのパソコンから削除してください。次に、トラッカーやトラッキングIDをすべて削除するために、閲覧データをすべて消去してください。

次に、ウイルス対策ソフトウェアを使ってスキャンを実行し、システムにマルウェアがないか確認します。アカウントを監視し、不審なアクティビティや異常なアクティビティがないか確認しましょう。多くのウイルス対策プログラムには、アカウントの追跡、ダークウェブの監視、ID監視などの機能が備わっています。

Tom's Guideのその他の記事

• プライムデーを前に1,200以上の偽Amazonサイトが登場 ― 詐欺に遭わないために
• プライムデーのおすすめアンチウイルスソフト：オンラインの安全を守る、大幅割引のセキュリティスイート7選
• この危険なMacマルウェアはメジャーアップグレードされ、削除がさらに困難になりました。安全を保つ方法