ユーザに告知されることなく特定のChromeエクステンションに広告をインジェクトする機能が追加されたといったニュースが数日前に流れたが、こうした報道を受けて掲載されたBetanewsの記事「Chrome has a malware problem, and Google needs to fix it」が事件の詳細を説明するとともに、Google側で「Chrome Web Store」のポリシー変更および対策を講じる必要があると伝えた。

同記事はまず数日前に発生したChromeエクステンションの問題を説明。どのような流れで問題が発生したかを要約すると次のとおり。

  1. 企業がある個人へChromeエクステンションの開発を依頼
  2. 依頼された個人はChromeエクステンションを開発して公開
  3. Chrome Web Store経由でChromeユーザがエクステンションをインストール
  4. 企業は開発されたChromeエクステンションを買い取り、広告を挿入するといった機能を追加した上でエクステンションのアップデートを実施
  5. Chromeユーザのエクステンションが自動アップデートされ、広告挿入機能が有効になった状態になる
  6. 気がついたChromeユーザがGoogleへ報告
  7. Googleはエクステンションのポリシーに違反するとして対象のChromeエクステンションをChrome Web Storeより削除

Googleがエクステンションの登録やアップデート作業で実施しているチェックは、MozillaがFirefoxアドオンの登録やアップデートで実施している作業に比べるとかなり緩い。基本的には自動で登録される仕組みになっている。Betanewsに掲載された記事ではこの仕組みには問題があるとし、Googleは適切に対処する必要があるだろうと指摘している。

マルウェアに感染させデータの盗みだしや詐欺行為を実施、アカウント情報の抜き取りなどを実施しようとする脅威は利用できるメディアはなんでも利用しようとする傾向がある。Chromeエクステンションがこうした脅威の対象にならないとは限らず、Googleの今後の対応なども見ながら新しいエクステンションを導入する場合には注意が必要といえる。