Google Chrome バージョン 25 以降では、他のアプリケーションによってオフラインでインストールされたブラウザ拡張機能は、ユーザーがブラウザ インターフェースのダイアログ ボックスで許可を与えるまで有効になりません。
現在、開発者はWindows版Google Chromeで拡張機能をオフライン(ブラウザインターフェースを使用せずに)インストールするための複数のオプションを利用できます。その1つは、Windowsレジストリに特別なエントリを追加し、Chromeに新しい拡張機能がインストールされたことを通知し、有効化する必要があることを通知する方法です。
「この機能は元々、ユーザーが別のアプリケーションのインストール時に、Chromeに便利な拡張機能を追加することをオプトインできるようにすることを目的としていました」と、GoogleのChrome拡張機能担当プロダクトマネージャー、ピーター・ルートヴィヒ氏は金曜日のブログ投稿で述べています。「残念ながら、この機能はサードパーティによって広く悪用され、ユーザーからの適切な承認なしに拡張機能がChromeにサイレントインストールされるケースが見受けられます。」
この種の不正使用を防ぐため、Chrome 25 以降、ブラウザは以前にインストールされたすべての「外部」拡張機能を自動的に無効にし、再度有効にする拡張機能を選択するための 1 回限りのダイアログ ボックスをユーザーに表示します。
さらに、オフライン方式を使用してインストールされたすべての拡張機能はデフォルトで無効になり、ブラウザを再起動したときに有効にするかどうかをユーザーに尋ねます。
Mozilla は 1 年以上前に Firefox に非常によく似たメカニズムを実装し、他のプログラムによってオフラインでインストールされた拡張機能がユーザーの確認なしに有効化されるのを防ぎました。
セキュリティ上の懸念
多くの攻撃では、Chrome拡張機能を含む悪意のあるブラウザ拡張機能が利用されています。例えば、5月には、Wikimedia財団がWikipediaのページに不正な広告を挿入するGoogle Chrome拡張機能に関する警告を発しました。
Google は 7 月に、サードパーティの Web サイトからの Chrome 拡張機能のインストールを許可しなくなり、オンラインでのインストールは公式 Chrome ウェブストアにある拡張機能のみに制限されました。
これにより、攻撃者が悪意のある拡張機能を配布することは困難になりましたが、既に侵入されたシステムにマルウェアがオフラインの方法で不正なChrome拡張機能をインストールすることを防ぐことはできませんでした。Chrome 25で予定されている変更は、この問題に対処することを目的としています。
「これは、より安全なブラウジング体験という正しい方向への良い一歩だと思います」と、ハンガリーのITセキュリティ研究者、ゾルタン・バラズ氏は月曜日にメールで述べた。バラズ氏は以前、Firefox、Chrome、Safari向けの悪意のある拡張機能の概念実証版を作成し、こうしたツールが攻撃者の手に渡ればどれほど強力になるかを実証した。
今年いくつかのセキュリティ会議で発表されたバラズ氏の研究は、リモート制御された不正なブラウザ拡張機能が、Web ページのコンテンツを変更したり、コンピュータの Web カメラでスクリーンショットを撮ったり、内部ネットワークへのリバース HTTP プロキシとして機能したり、ファイルをダウンロード、アップロード、実行したり、分散パスワード ハッシュのクラッキングなどに使用できることを示した。
Chrome 25で予定されている変更により、攻撃者の活動はより困難になるだろうが、マルウェアによってChromeのインストール全体がバックドアに置き換えられる可能性は依然として残っているとバラズ氏は述べた。同氏は、Microsoftが発表した「セキュリティの10の不変の法則」の第一条を例に挙げ、「もし悪意のある人物が自分のプログラムをあなたのコンピュータ上で実行するように仕向けることができたなら、それはもはやあなたのコンピュータではない」と述べている。
Googleは7月、サードパーティのウェブサイトからのChrome拡張機能のインストールを禁止した際、Chromeウェブストアに掲載されているすべての拡張機能の悪質な動作の分析を開始し、問題のある拡張機能を削除するとも発表した。
詐欺に注意
しかし、それ以降もChromeウェブストアで悪質な拡張機能が複数回発見されており、Googleの拡張機能のスキャンと審査の仕組みを回避できることが示唆されています。8月30日、バラクーダネットワークスの研究者は、Facebookの詐欺師が9万人以上のユーザーを騙し、Chromeウェブストアにホストされている複数の悪質なChrome拡張機能をインストールさせ、その後Googleが拡張機能を削除することに成功したと警告しました。
Facebook の脅威を監視する団体 Facecrooks は 12 月 20 日に、Facebook プロフィールの配色を変更すると主張してユーザーを騙し、不正な Chrome 拡張機能をインストールさせる詐欺行為について警告した。
Balazs 氏によると、悪意のある拡張機能の開発者が Chrome ウェブストアのマルウェア検出システムを回避できるという事実はそれほど驚くべきことではないという。
JavaScriptコードを難読化したり、悪意のある関数を他の悪意のない関数の中に隠したり、あるいは悪意のない拡張機能を作成してアップデートで悪意のある関数を追加したりするのは、非常に簡単だとバラズ氏は述べた。「これは、マルウェア開発者とアンチウイルス業界の間で見られるのと同じ、いたちごっこのようなものです。」
「ブラウザ拡張機能のセキュリティに関しては、今のところGoogleがセキュリティ標準です」とバラズ氏は述べた。しかし、Googleにとって大きな前進となるのは、旧式のNPAPI(Netscape Plugin Application Programming Interface)プラグインアーキテクチャを全面的に無効化することだろう(Windows 8 Metro版ChromeとChromebook版Chromeでは現在無効化されている)。そして、より安全でサンドボックス化されたネイティブクライアントアーキテクチャを推進するだろう、と彼は述べた。
