Pages

Friday, June 28, 2024

Chrome拡張機能は本当に安全なのか? Googleと研究者らの主張が食い違う - ITmedia エンタープライズ

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Googleは2024年6月20日(現地時間、以下同)、「Google Chrome」(以下、Chrome)の拡張機能の安全性確保への取り組みを報告した。

Chromeは本当に安全? Googleの主張と研究者らの指摘

 Chromeは拡張機能を利用することでさまざまな機能を後から追加できる。拡張機能を利用できることはユーザーがChromeを選択する理由の一つでもある。だが、サイバー脅威者によって悪用される標的にもなっており、拡張機能を“隠れみの”にしてマルウェアが配布されていることが問題視されている。

 Googleは長年にわたって拡張機能にマルウェアが混入しないようにする取り組みを続けている。今回は特に次の3つについて伝えている。

  • 拡張機能の概要ページ: 「chrome://extensions」「パズルアイコン→拡張機能の管理」「メニュー→拡張機能→拡張機能の管理」などの方法で「拡張機能ページ」を表示できる。このページはセキュリティリスクをもたらす可能性がある拡張機能など、何らかの理由でアンインストールが推奨される拡張機能を利用していると警告が表示されるように変更されており、簡単に有害な拡張機能の除去ができる
  • 公開前の拡張機能の確認: Googleは拡張機能が「Chrome ウェブストア」で公開される前に、機械学習システムによる自動レビューやチームメンバーによる手動レビューが実施される。この段階で圧倒的多数の悪意ある拡張機能が検出され排除される
  • 公開後の拡張機能の監視: 公開後の拡張機能についても機械や人間によるレビューを実施している。また、セキュリティ研究者と連携し、ユーザーに脅威をもたらす可能性がある拡張機能を検出している

 Googleは悪意ある拡張機能の被害者にならないように、ユーザーに以下の次のプラクティスを推奨している。

  • インストール前の確認: 確認済みバッジやおすすめバッジがついている拡張機能を選択する、ユーザーからの評価とレビューを参考にする、開発者に関する情報を確認する、拡張機能が個人情報をどのように扱うのかを確認する、拡張機能をすぐにインストールするように促すWebサイトに注意する
  • インストール済み拡張機能を確認する: chrome://extensionsでリスクをもたらす可能性のある拡張機能を確認する、使用しなくなった拡張機能はアンインストールする、Chrome ウェブストアで拡張機能の説明を確認するとともに評価やレビュー、プライバシーに関する情報を確認し、信頼できないものはアンインストールする。また、拡張機能が作業するアクセス許可を持つサイトは制限する
  • 保護機能を有効にする: セーフブラウジングの強化保護モードを有効化する。chrome://settings/securityから有効にする

 Googleは説明の中で、2024年にChrome ウェブストアからのインストールのうちマルウェアが含まれていた割合は1%未満だったとして、この記録を優れたものとして評価している。

 しかし、英国のITニュースメディア「The Register」はGoogleのこの発表を受けて、Chrome ウェブストアから悪意ある拡張機能を取得するリスクはGoogleが示しているものよりもはるかに悪いものだと指摘した。

 研究者らが2024年6月23日に論文「[2406.12710] What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions」をインターネットに公開しており、この研究成果を引き合いに出す形でChrome ウェブストアの拡張機能がもたらすリスクはGoogleが認識しているものよりもはるかに大きいと説明した。

 研究者らは今回、かなりの数のユーザーがすでに悪意ある拡張機能をインストールしていること、そうした拡張機能は何年もChrome ウェブストアにとどまっていること、ユーザーレビューが悪い拡張機能を区別するために効果的ではないこと、拡張機能の多くが古い脆弱なライブラリーを使い続けていること、メンテナンスされていない拡張機能が相当数存在していることなどを指摘している。

 Google Chromeの拡張機能は強力であり、ユーザーの個人情報にアクセスすることもできる。サイバー脅威者はWebブラウザ拡張機能がマルウェアの感染やマルウェアそのものの隠れみのとして優れていることをすでに知っており、拡張機能にマルウェアを仕込む方法の模索と改善を続けている。

Adblock test (Why?)


からの記事と詳細 ( Chrome拡張機能は本当に安全なのか? Googleと研究者らの主張が食い違う - ITmedia エンタープライズ )
https://ift.tt/n6t3lCT
Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)