メニュー
日本語

Google Chrome ウェブストア、審査が不十分で危険な拡張機能が多すぎる 新しいリサーチでわかったこと

Google Chromeは、市場シェア66%という驚異的な数字を持つ、最も広く使われているデスクトップブラウザであり、16億人のアクティブユーザーを誇っている。

そして、Chromeウェブストア(CWS)には12万5000以上もの拡張機能が掲載されている。

しかし、このブラウザとその拡張機能の絶大な人気には、暗く陰気な裏面もある。

スタンフォード大学が最近実施した調査によると、G社はいろんなことで手一杯で、その広大な拡張機能帝国をほとんど制御できていないようだ。

Googleが機械学習と人間によるレビューを組み合わせて各拡張機能に対して行っていると思われる厳格なチェックにもかかわらず、「拡張機能が安全に使用されることを保証する」という目標から見事に外れていることを、研究者たちは発見した。

jzpyesm

報告書によると、潜在的に有害で明らかに危険なエクステンションがもたらすリスクの規模は、研究者たちが「セキュリティ上注目すべきエクステンション」またはSNEと呼ぶもので、ただただ驚くばかりだ。過去3年間で、3億4,600万人以上のユーザーが、少なくとも1つのSNEをインストールしているという。これらのインストールのうち、2億8000万人のユーザーがマルウェアを含むエクステンションをダウンロードし、6330万人のユーザーがCWSのポリシーに違反するエクステンションをインストールし、290万人のユーザーが脆弱性があることが知られているエクステンションをインストールしている。

また、ポリシー違反や脆弱性のある拡張機能で、PCにとってセキュリティ上の脅威となる必要のないものを差し引いたとしても、2億8,000万個のマルウェアを含む拡張機能が残っている。これらの拡張機能は、悪意のある広告をユーザーに浴びせたり、目に見えない形でユーザーを追跡したり、スパイ行為に及んだりするほか、ログイン情報などの機密データを盗み出す可能性もある。

一言で言えば、このデータが意味するのは、何百万人ものユーザーが、ブラウザに便利な機能を追加しているつもりが、知らず知らずのうちにデータ窃盗からプライバシー侵害に至る脅威に身をさらしているということだ。

危険な拡張機能はChromeウェブストアに何年も残ってしまっている

特に憂慮すべきは、良性の拡張機能(プライバシーやセキュリティを危険にさらすことのない拡張機能)は、脆弱な拡張機能よりもChromeストアに留まる期間が短い傾向にあることです。研究者たちは、良性の拡張機能が平均1,152日間滞在するのに対し、脆弱性のある拡張機能の寿命は平均1,248日、3年以上に達することを発見しました。マルウェアを含む拡張機能の平均滞在日数ははるかに短いが、それでも1年以上(380日)CWSに生息している。

中央値に関しては、良性の拡張機能の場合、脆弱性のある拡張機能(1,213日)よりもかなり低い(780日)。

このような拡張機能は、ユーザーのセキュリティとプライバシーを何年にもわたって危険にさらすことになるため、これは非常に問題である。

悪意のある拡張機能の平均寿命は厄介なものだが、もっと悪いケースもある。「TeleApp」と呼ばれるマルウェア満載の拡張機能は、なんと8年半もCWSに残っていたのだ!10年以上前の2013年12月に最終更新されたTeleAppは、2022年6月に最終的に削除されるまで、レーダーの目をかいくぐることに成功した。

同様に不愉快なのは、マルウェアに汚染された拡張機能は、良性の拡張機能よりも平均してユーザーベースが大きいという事実です。調査によると、良性の拡張機能の平均ユーザー数は11,000人であるのに対し、マルウェアを含む拡張機能はその2倍以上の27,000人を誇っている。

そもそも悪質な拡張機能を見抜く方法は?

Googleは、拡張機能を吟味し、悪いリンゴを取り除くという良い仕事をしていないようだ。さらに、研究者が指摘するように、グーグルのエンジニアは「審査プロセスを通じて、マルウェアを含む拡張機能やポリシー違反の拡張機能を探しているようだ」(「ようだ」という言葉の出だし)が、脆弱な拡張機能を検出するためのツールや手順は持っていないようだ。

研究者は、脆弱な拡張機能を、攻撃者に悪用された場合、ユーザーデータを盗んだり、訪問するすべてのウェブサイトに悪意のあるスクリプトを注入したりするような悪意のある攻撃を広める可能性のある弱点をコードに含むものと定義している。つまり、潜在的に危険な拡張機能の大きなプールは、Googleにとって依然としてブラック・スポットなのだ。

では、グーグルが悪者を追い出すのに苦労しているのなら、ユーザー自身が立ち上がって自分たちの手で問題を解決できるのだろうか?理想的にはそうだ。しかし、研究者たちが指摘するように、少なくともSNEの拡張機能は一見しただけではあまり目立たないため、実際にそれを達成するのは非常に難しい。

例えば、研究者は、格付けは、控えめに言っても、信頼性の最良の指標ではないことを発見した。悪意のある拡張機能(52%)と脆弱性のある拡張機能(47%)のかなりの部分がレーティングを完全に欠いている一方で、驚くほど多くの良性の拡張機能(32%)もこのカテゴリに分類されます。さらに問題なのは、全体的に評価の中央値が高いままであることです。良性の拡張機能とポリシー違反の拡張機能は 5、マルウェアを含む拡張機能は 4.9、脆弱性のある拡張機能は 4.5 です。研究者が指摘するように、これはユーザーが一般的に、インストールする拡張機能の本質と関連するリスクに気づいていないことを示唆している。偽のレビューや操作されたレビューを否定することはできないが、これは良性の拡張機能にも悪意のある拡張機能にも影響を与える諸刃の剣であるようだ。

では、レビューが本当に信用できないのであれば、ある拡張機能の良し悪しをどうやって判断すればいいのでしょうか?残念ながら、確実な指標はありませんが、おそらく最善の策は開発者の記録を見ることでしょう。

開発者の評判:拡張機能の安全性の手がかりにはなるが、保証にはならない

興味深いことに、少なくとも1つの悪意のある拡張機能を持つ開発者は、少なくとも1つの良性の拡張機能を持つ開発者よりも、平均してより多くのセキュリティ的に注目される拡張機能を公開する傾向があることを示しています。この論文によると、「悪意のある拡張機能を1つ公開した開発者は、平均して3.6個の良性の拡張機能、4.9個のマルウェアを含む拡張機能、1.4個のポリシー違反の拡張機能、0.00093個の脆弱な拡張機能を公開している」。
また、マルウェアを含む拡張機能やプライバシーを侵害する拡張機能を持つ開発者は、別の拡張機能を公開する可能性が高いことも調査から示唆されている。

不思議なことに、研究者たちは、それぞれ100以上のマルウェアを含む拡張機能を持つ30人の開発者を数えました。

しかしここで、悪意のある拡張機能と脆弱性のある拡張機能の間に重要な違いが現れます。マルウェアやプライバシーを侵害する拡張機能は、しばしば常習犯によるものであるが、脆弱な拡張機能を公開している開発者は、良性の拡張機能も高い割合で持っているようである。

悪質な拡張機能は、より多くの権限を要求する傾向がある

研究者は、Security-Noteworthy Extensions (SNE)は良性の拡張機能よりも多くのデータへのアクセスを要求することを発見しました。マルウェアを含む脆弱なエクステンションが要求するAPIパーミッションの中央値は4であるのに対し、ポリシー違反のエクステンションは2、良性のエクステンションは1しか要求しない。

結局のところ、拡張機能の権限が多ければ多いほど、攻撃対象領域は大きくなります。

興味深いことに、良性エクステンションもSNEも、機能的には同じようなAPIを使用しているようだ。重要な違いは「topSites」パーミッションにある。このパーミッションは、悪意のあるエクステンション(4,000以上のエクステンションが使用)では2位にランクインしているが、他のカテゴリーではトップ10にランクインしていない。これはおそらく、マルウェアが新しいタブでホームページをハイジャックし、「topSites」アクセス権を必要とする機能に関連していると思われる。

しかし、ホストパーミッション(特定のウェブサイトへのアクセス)を見ると、話は変わってくる。<all_urls>http://のように、すべてのURLへのアクセスを許可するパーミッションは、良性の脆弱な拡張機能の間で人気があります。対照的に、マルウェアやポリシー違反の拡張機能は、特定のGoogleのサブドメインをターゲットにすることが多い。このことから、マルウェアの開発者は、Googleの監視の対象となるパーミッションを意図的に回避している可能性があります。

アップデートされていないことも危険と脆弱性の原因の一つ

脆弱性、ひいてはユーザーにとってのリスクの大きな原因は、何年もアップデートされていない拡張機能であり、そのためパッチが適用されていないセキュリティホールによって様々な攻撃を受けやすい。

膨大な数という点では、利用可能な拡張機能の60%が一度もアップデートされておらず、悪用や侵害の餌食になっていることがわかった。さらに衝撃的なのは、脆弱性があることが知られている(つまり、脆弱性が公に報告されている)拡張機能の“半分”が、脆弱性が公表されてから2年間、Chromeストアでパッチが適用されていないままであることだ。

結論

ユーザーがブラウジング体験を向上させるために拡張機能に依存することが増えているため、開発者とプラットフォームのキュレーター(この場合は Google)の双方に、セキュリティを優先させる責任があると私たちは考えています。Googleの役割は、開発者が意図的にそのようにしたマルウェア満載の拡張機能に関しては特に重要です。
監視の強化、ポリシーの厳格な実施、ユーザー教育の向上は、これらのリスクを軽減し、世界中の何百万人ものChromeユーザーがより安全なブラウジング環境を利用できるようにするための重要なステップです。

この記事を気に入っていただけましたか?
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for Windows

AdGuard for Windowsは、単なる広告ブロッカーではなく、広告をブロックし、危険なサイトへのアクセスを制御し、ページの読み込みを高速化し、不適切なコンテンツから子供を保護する、多目的ツールです。
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for Mac

AdGuardはmacOSの仕様を念頭に設計されたユニークな広告ブロッカーです。 ブラウザやアプリで広告を取り除くだけでなく、個人情報追跡、フィッシング、詐欺から端末を守ります。
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for Android

AdGuard for Androidは、Android搭載端末に最適なソリューションです。 他のほとんどの広告ブロッカーと違って、root権限を必要とせず、アプリでのフィルタリング、アプリ管理など、幅広い機能を提供しています。
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for iOS

AdGuard はiOSに最適な広告ブロックアプリです。Safariブラウザですべての広告を削除し、プライバシー保護、ページの読み込み時間の短縮を実現します。 また、複数のフィルタを同時に使用できるようにしながら、最高のフィルタリング品質を実現する最新の広告ブロック技術を採用しています。
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuardコンテンツブロッカー

AdGuard Content Blockerは、コンテンツブロッカーテクノロジーをサポートするモバイルブラウザー(Samsung Internet、Yandex.Browser)のすべての種類の広告を排除します。 Android for AdGuardよりも制限されていますが、無料で簡単にインストールでき、広告のブロック品質も高いです。
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard ブラウザ拡張機能

AdGuardは、Webページ上のすあらゆる広告を効果的にブロックします。また最速で軽量な広告ブロック拡張機能です!是非AdGuardを使って広告のない高速で安全なブラウジングをお楽しみください。
19,557 19557件のユーザーレビュー
素晴らしい

AdGuardアシスタント

“AdGuardデスクトップアプリのお手伝い役”ブラウザー拡張機能。カスタム要素のブロック、Webサイトのホワイトリストへの登録、報告の送信などといった機能に直接ブラウザーからアクセスできるようにします。
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard Home

AdGuard Home は、広告とトラッキング(追跡)をブロックするネットワーク全体用ソフトウェアです。 セットアップを完成すると、全ての家庭内デバイスをカバーし、クライアント側のソフトウェアさえ必要ありません。 Internet-Of-Thingsや接続するデバイスの登場と伴って、ネットワーク全体を制御することがますます重要になってきています。
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard Pro for iOS

AdGuard Pro は、通常バージョンのユーザーに既に知られているSafariの優れた広告ブロック機能以外にも多くの機能を提供いたします。 カスタムDNS設定へのアクセスを提供することで、広告ブロック、アダルトコンテンツからお子様を守り、盗難からあなたの個人データを保護することができます。
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for Safari

Appleが新しいSDKの使用を開発者全員に強制し始めてから、Safari用の広告ブロック拡張機能は苦境に立たされています。AdGuard拡張機能は、Safari用の高品質な広告ブロック機能を復活させることがミッションです。
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for Android TV

AdGuard for Android TV は、広告をブロックし、プライバシーを保護し、スマートテレビのファイアウォールとして機能する唯一のアプリです。Webの脅威に関する警告を受け取り、セキュアDNSを使用し、トラフィックを暗号化しましょう。セキュリティを向上して、広告なしでお気に入りの番組をお楽しみください!
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard for Linux

AdGuard for Linux は、世界初のシステムワイドなLinux用広告ブロッカーです。デバイスレベルで広告やトラッカーをブロックしたり、プリインストールされたフィルタから選択したり、独自のフィルタを追加したりすることができます。
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard Temp Mail

匿名性とプライバシーを保護する、無料の捨てメアド(一時メールアドレス)ジェネレーター。メインのメールサービスに迷惑メールは届きません!
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard VPN

82ヵ所の世界中ロケーション

どのコンテンツも自由にアクセス

強力な暗号化

ログ一切なしポリシー

最速コネクション

年中無休サポート(日本語対応)

無料で使ってみる
ダウンロードされますと、使用許諾契約書に同意したことになります。
詳細
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard DNS

AdGuard DNSは、広告ブロック、プライバシー保護、ペアレンタルコントロールの代替ソリューションです。初期設定が簡単で、端末のプラットフォームやデバイスに関係なく、オンライン広告、トラッカー、フィッシングに対する必要最小限の保護を提供します。
19,557 19557件のユーザーレビュー
素晴らしい

AdGuard Mail β

エイリアスと使い捨てメールアドレスを使用して、個人情報を保護し、迷惑メールを回避し、受信トレイを安全に。全OS対応の無料メール転送サービス・アプリです。
AdGuardをダウンロード中です AdGuardをインストールするには、矢印が指してるファイルをクリックしてください 「開く」を選択し、「OK」をクリックして、ファイルがダウンロードされるのをお待ちください。 ダウンロードが終了し開きましたウィンドウでAdGuardを「Applications」フォルダにドラッグで移動させてください。 AdGuardをダウンロードして頂きありがとうございます! 「開く」を選択し、「OK」をクリックして、ファイルがダウンロードされるのをお待ちください。 ダウンロードが終了し開きましたウィンドウで「インストール」をクリックしてください。 AdGuardをダウンロードして頂きありがとうございます!
以下のQRコードをスキャンすることでモバイル端末にもAdGuardをインストールできます。