Image by Deepanker Verma from Pixabay

グーグル社が提供するブラウザ「Chrome」において昨年末、少なくとも33もの拡張機能が最長18か月にわたり悪意のあるコードを含んでいる状態であったことが明らかになっていた。直近に発覚したものもあるため、連休明けで初めてブラウザを使う場合は、これらの報告されている拡張機能を使っていないかを念のため確認しておいたほうが良いかもしれない。 【画像】報告されていた改ざんを確認した拡張機能の一覧（1月5日現在） この問題は、データ損失防止サービスを提供する海外デベロッパーCyberhavenが自社の拡張機能において、改ざんされていることを発見したことをきっかけに、速報レポートとしてまとめていた。悪意のあるバージョンは2024年12月25日から26日にかけて配信され、この間Chromeブラウザを起動していたユーザーに自動的にインストールされていたという。 調査によると、攻撃者はCyberhavenの開発者に対して、グーグル社を装った規約違反の通告フィッシングメールを送信。開発者がフィッシングに騙された形で拡張機能を管理するGoogleアカウントへのアクセス許可を攻撃者に与えてしまったことで、攻撃者はウェブストア（拡張機能のダウンロードストア）に悪意ある改ざんされたバージョンをアップロードする権限を取得したようだ。

対策されていない場合は削除推奨

さらに、この報告と同時期にセキュリティ企業Secure Annexなどは、少なくとも数十もの拡張機能が上記と全く同じ手口による被害に遭っていることも伝えられていた。報告された拡張機能は「VPNCity」「Internxt VPN」などのVPN関連から「GPT 4 Summary with OpenAI」「Wayin AI」といったAIチャット関連まで並んでいた。 影響が及んだ期間も拡張機能によって異なるほか、対応状況も「修正バージョンを配信済み＝対応完了」「ウェブストアから削除済み」「攻撃者はオフラインだが改ざんの修正はなし」とさまざまで、対応状況などは報告者がスプレッドシートとして公開している。 前述の通り、ウェブストア修正バージョンが配信された拡張機能は配信後の初回起動時に自動的にアップデートされる仕組みになっているため、特段の対策は必要ないとみられる。ただ、対応が不完全なものはクッキー情報やソーシャルメディアのログイン認証情報を窃取する可能性もあるため、拡張機能の削除を行っていただきたい。 これらの改ざんされた拡張機能の多くは英語版がメインのため、日本国内での利用者数はさほど多くないものと推察されるが、攻撃が欧州圏で休みであったクリスマス～年末周辺を狙って行われていたため、もし上記のような拡張機能を利用している心当たりがある方は公式アナウンスなどを参考に確認してみたほうが良いかもしれない。 ■改ざんが報告された拡張機能の例（すでに修正パッチが適用されているものや、ウェブストアから削除されているものも含みます） VPNCity Parrot Talks Uvoice Internxt VPN Bookmark Favicon Changer Castorus Wayin AI Search Copilot AI Assistant for Chrome VidHelper - Video Downloader AI Assistant - ChatGPT and Gemini for Chrome TinaMind - The GPT-4o-powered AI Assistant! Bard AI chat Reader Mode Primus (prev. PADO) Tackker - online keylogger tool AI Shop Buddy Sort by Oldest Rewards Search Automator Earny - Up to 20% Cash Back ChatGPT Assistant - Smart Search Keyboard History Recorder Email Hunter Visual Effects for Google Meet Cyberhaven security extension V3 GraphQL Network Inspector GPT 4 Summary with OpenAI Vidnoz Flex - Video recorder & Video share YesCaptcha assistant Proxy SwitchyOmega (V3) ChatGPT App Web Mirror Hi AI