Google、Apple、Amazonなどソフトウェアをダウンロードできるストアを持つ企業は、セキュリティベンダーと変わらないレベルで日々マルウェアと戦っている。と切り出すのはKaspersky labの公式ブログ。名だたる世界規模のIT企業は常にマルウェアとの終わりのない闘いに挑んでいる。情報が自由に行き交うことがインターネットの大いなる魅力だが、自由を守るには不断の努力が必要になる。Kaspersky labの公式ブログにおいて、Chrome Web Storeにおけるマルウェア紛れ込みに関する事例が報告されている。
アプリやアドオンのストアには一定の安心感を持ってしまうが、昔からマルウェアが混入する例は数多く報告されている。同社に限らずセキュリティベンダーは、公式のアプリストアからアプリを入手することを強く推奨しているが、だからといってこれらのサイトにマルウェアがないわけではない。Google Playの安全性は高いがChrome Web Storeは別だ(although Google Play is fairly safe, the Chrome Web Store is a different kettle of piranha)と強く警鐘を鳴らしている。
ブログによるとKaspersky Labsのセキュリティ専門家は先日、悪意ある拡張機能を発見した。ユーザーの銀行に関するデータを狙うという。悪さをするのは、Desbloquear Conteúdoという名の拡張で、ポルトガル語で“コンテンツを解放する”を意味し、中間者攻撃を実行。ユーザーが自分の銀行のWebサイトを訪問すると、悪意あるスクリプトが犯罪者のプロキシサーバー経由でトラフィックをリダイレクトし、分析して好きなものをピックアップできるようにするのだという。
またこのマルウェアは、ユーザーがオンラインで入力した一定の情報を抽出するスクリプトも含んでおり、例えば、ユーザーがオンラインバンキングのログインページのアクセスすると、マルウェアはその銀行のインターフェイスに完璧にマッチするが、自分たちのログイン、パスワード、ワンタイム認証コードを置き換えた画面オーバーレイを表示。ユーザーがログインボタンを押すと、マルウェアは入力されたデータを複製する。
不正のコマンド&コントロール(C&C)サーバーが置かれているドメインが、それ以前に悪意あると識別されたものと同じIPアドレスを用いていたこともあり、Kasperskyのセキュリティ研究者の発見につながったのだという。疑いが確定したところで、研究者らはGoogleに連絡。その後すぐにマルウェアはChrome Web Storeから削除されたとのことだ。このようなブラウザの拡張機能から保護するにはどうすればよいか?Kaspersky labでは改めて原則を示している。
・本当に信頼できる拡張のみをインストールする。残念ながら完璧に検証して信頼できるというものはない。だが少なくとも信頼できる開発者が開発したものを利用したい。
・不必要な拡張機能は入れない。
・使わなくなった拡張機能は削除する。いつでも再インストールできるのだ。
・検証されたセキュリティソリューションを使う。例えば「Kaspersky Internet Security」では全ての拡張を分析している。