extension「The Great Suspender」には、二百万人を超える ユーザーがいました。使っていないタブを眠らせて RAM を節約するためのツールです。あるとき、オリジナルの開発者が このプロジェクトを匿名の買い手に売却します。数週間後、その 買い手が Chrome Web Store に上げたアップデートには、トラッキングコードが仕込まれ、 広告が差し込まれ、ユーザーの挙動が海外のサーバーへ 送られる仕掛けがありました。Google が動き出したころには、すでに何百万人もがそのアップデートを 受け取った後でした。
ぞっとするのは、ある特定の extension が悪意を持ったものに変わってしまったことではありません。 こうしたことが今後も繰り返されるように、仕組み自体が できあがっているということです。インストール済みの extension は、どれも非常に広い権限を持ったコードの塊で、 勝手にアップデートが降ってきます。しかも更新を配信して いる開発者のアカウントや動機、所有者は、ある日突然 別物に変わっていてもおかしくありません。
extension が実際に見ているもの
ほとんどのブラウザ extension は、あなたが開くすべてのページへのアクセスを要求してきます。Chrome ではこの権限は「アクセスしたウェブサイト上のすべてのデータの 読み取りと変更」と表示されます。いかにも技術的な書き方ですが、 要するに extension は、どのページのどのフィールドでも読み取れるということです。パスワード 入力欄も、DOM の中に置かれたセッショントークンも、プライベートメッセージも、 銀行関連のデータも、すべて含まれます。
それと同時に、リクエストの傍受、cookie の読み取り、タブの操作、キー入力の取得、本物のページ要素と 見分けがつかないコンテンツの差し込みまでできます。extension は実質的に man in the browser そのものです。これはバグではなく、パスワードマネージャや ad blocker、翻訳ツールがそもそも動くようにするための設計上の 選択です。
ブラウザがこれらの権限を表示してくれるのは、インストール 時の一度きりです。あとは二度と出てきません。多くのストアでは、 まったく新しいカテゴリが追加されない限り、アップデートで 既存の権限を広げても再確認は求められない仕組みになっています。
extension が攻撃面に変わる仕組み
extension が乗っ取られる経路は主に三つあり、そのいずれもここ数年で ぐっと増えています。
新しい所有者への売却。趣味で ツールを作っている開発者が、小さな extension を何年もコツコツとメンテし続けていると、ある日買収の オファーが舞い込みます。買い手はほぼ例外なくマーケティング 企業で、ときには正体を隠したオペレーターです。狙いは すでに育ったユーザーベースで、広告の注入、アフィリエイト への誘導、さらにはインフォスティーラーのキャンペーンその ものに転用したいわけです。
開発者を狙った phishing。2023 年には、ある週末のうちに二十を超える Chrome の extension が攻撃者の手に渡りました。開発者たちが Google Mail の通知を装った OAuth のプロンプトに引っかかったのが原因です。攻撃者は誰もアクセスに 気づかないうちに、悪意のあるアップデートを配信してしまいました。
依存関係。extension はライブラリを取り込みます。そのライブラリにもそれぞれ メンテナがいて、独自のサプライチェーンがあります。乗っ取られた npm パッケージは、extension の作者自身が悪意のあることを何もしていなくても、複数の extension を経由してエンドユーザーのブラウザまで届いてしまいます。
あまり知られていない事例たち
リストは長く、しかも今も伸び続けています。The Great Suspender は、たまたま一番有名になっただけの例です。Nano Adblocker と Nano Defender は、2020 年の所有者交代を境に悪質なものへと変貌し、ユーザーのリクエストを 片っ端からログに取り始めました。Stylish は二百万人のユーザーを抱えるサイトのデザインをカスタマイズ する extension でしたが、買収された後、訪れた URL をすべて外部のサーバーへ送るようになっていきました。
2024 年には、Secure Annex の調査で、Chrome 上のノート、PDF、天気、スクリーンショットといった全く違う ジャンルの extension 数十本に、後から認証情報を盗むためのコードが仕込まれていた ことが明らかになっています。合計のインストール数は、六千万を 優に超えていました。
2024 年だけで確認された悪質な extension
影響を受けた extension の累計ユーザー数
のユーザーが 3 個以上の extension を入れている
自分の extension を見直す
この手順は十分ほどで終わり、どの extension を残すか、思いきって整理できます。
- 1
ブラウザの extension ページを開く
Chrome なら chrome://extensions、Firefox なら about:addons、Edge なら edge://extensions です。これまでに入れたものが全部そこに並んでいるはずです。 - 2
ここ 2 週間使っていないものは思いきって削除する
ふだん使っていない extension は、もう攻撃面でしかありません。たまにしか使わない スクリーンショットツールのために、どこでも読み取れる 権限を常駐させておく価値はないでしょう。 - 3
残ったものは、開発者と最終更新日を確認する
開発者が不明、最近売却された、もう一年以上アップデートが ない、これらはすべて要注意のサインです。長く更新が 止まっているのはセキュリティパッチが当たっていないという ことですし、所有者が頻繁に変わっているなら乗っ取りの 典型的なパターンを疑っていいタイミングです。 - 4
可能なら、site access を制限する
Chrome では、extension を特定のサイトだけに絞ったり、「クリックしたときだけ」動かす 設定にしたりできます。メモ用のツールが online banking の画面で動いている必要はないはずです。
より安全なデフォルト構成
正解が「extension を全部捨てる」になることは、ほとんどありません。パスワード マネージャや ad blocker は、それだけのことをしてくれる存在です。答えはむしろ、機微な ブラウジングを、extension というものを知らない環境に逃がしてしまうことです。add-on の一つもない、まっさらで隔離されたブラウザは、いま用意できる なかでもっともきれいな攻撃面です。
実際の使い方としては、普段のブラウザではお気に入りの extension をそのまま使い続け、リスクは理解したうえで定期的に棚卸しを します。そして banking、管理者ログイン、crypto wallet、 信頼できないサイトでの調査は、隔離したセッションのほうで こなします。そこには覗いてくる extension は存在しません。そもそも extension が一つも入っていないからです。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
