連休明けに念のため確認を…一部のChrome拡張機能で“改ざん事案”年末に海外で発生していた

グーグル社が提供するブラウザ「Chrome」において昨年末、少なくとも33もの拡張機能が最長18か月にわたり悪意のあるコードを含んでいる状態であったことが明らかになっていた。直近に発覚したものもあるため、連休明けで初めてブラウザを使う場合は、これらの報告されている拡張機能を使っていないかを念のため確認しておいたほうが良いかもしれない。

この問題は、データ損失防止サービスを提供する海外デベロッパーCyberhavenが自社の拡張機能において、改ざんされていることを発見したことをきっかけに、速報レポートとしてまとめていた。悪意のあるバージョンは2024年12月25日から26日にかけて配信され、この間Chromeブラウザを起動していたユーザーに自動的にインストールされていたという。

調査によると、攻撃者はCyberhavenの開発者に対して、グーグル社を装った規約違反の通告フィッシングメールを送信。開発者がフィッシングに騙された形で拡張機能を管理するGoogleアカウントへのアクセス許可を攻撃者に与えてしまったことで、攻撃者はウェブストア（拡張機能のダウンロードストア）に悪意ある改ざんされたバージョンをアップロードする権限を取得したようだ。

対策されていない場合は削除推奨

さらに、この報告と同時期にセキュリティ企業Secure Annexなどは、少なくとも数十もの拡張機能が上記と全く同じ手口による被害に遭っていることも伝えられていた。報告された拡張機能は「VPNCity」「Internxt VPN」などのVPN関連から「GPT 4 Summary with OpenAI」「Wayin AI」といったAIチャット関連まで並んでいた。

影響が及んだ期間も拡張機能によって異なるほか、対応状況も「修正バージョンを配信済み＝対応完了」「ウェブストアから削除済み」「攻撃者はオフラインだが改ざんの修正はなし」とさまざまで、対応状況などは報告者がスプレッドシートとして公開している。

前述の通り、ウェブストア修正バージョンが配信された拡張機能は配信後の初回起動時に自動的にアップデートされる仕組みになっているため、特段の対策は必要ないとみられる。ただ、対応が不完全なものはクッキー情報やソーシャルメディアのログイン認証情報を窃取する可能性もあるため、拡張機能の削除を行っていただきたい。

これらの改ざんされた拡張機能の多くは英語版がメインのため、日本国内での利用者数はさほど多くないものと推察されるが、攻撃が欧州圏で休みであったクリスマス〜年末周辺を狙って行われていたため、もし上記のような拡張機能を利用している心当たりがある方は公式アナウンスなどを参考に確認してみたほうが良いかもしれない。

■改ざんが報告された拡張機能の例（すでに修正パッチが適用されているものや、ウェブストアから削除されているものも含みます）
VPNCity
Parrot Talks
Uvoice
Internxt VPN
Bookmark Favicon Changer
Castorus
Wayin AI
Search Copilot AI Assistant for Chrome
VidHelper – Video Downloader
AI Assistant – ChatGPT and Gemini for Chrome
TinaMind – The GPT-4o-powered AI Assistant!
Bard AI chat
Reader Mode
Primus (prev. PADO)
Tackker – online keylogger tool
AI Shop Buddy
Sort by Oldest
Rewards Search Automator
Earny – Up to 20% Cash Back
ChatGPT Assistant – Smart Search
Keyboard History Recorder
Email Hunter
Visual Effects for Google Meet
Cyberhaven security extension V3
GraphQL Network Inspector
GPT 4 Summary with OpenAI
Vidnoz Flex – Video recorder & Video share
YesCaptcha assistant
Proxy SwitchyOmega (V3)
ChatGPT App
Web Mirror
Hi AI