ブラウザ拡張機能からの個人情報流出。悪意をもった拡張機能たち

google chrome

Simon Steinberger via Pixabay

「400万人以上の個人情報がネット上で販売」と報告

 少し前に、Google ChromeMozilla Firefox の拡張機能から個人情報が流出していて売られていたという記事が掲載された(参照:GIGAZINE)。400万人以上の個人情報が気付かぬ間に盗まれていたという。  こうした拡張機能からの情報流出は珍しいことではない。わざわざ記事になったのは、数が大きかったことと、数十万人から百万人以上のユーザーがいる拡張機能が個人情報を盗んでいたからだ。  不正な拡張機能はたびたび問題になっている。不正な拡張機能の例をいくつか挙げてみる。まずは広告の書き換え。Webページの広告を書き換えて、拡張機能の開発者にお金が入るようにするというものだ(参照:トレンドマイクロ@IT)。似たようなものに、仮想通貨発掘コードを埋め込むものがある。AmazonなどのアフィリエイトのIDを書き換える方法でもお金を稼ぐことができる。  また、現在表示されているWebページの情報にアクセス可能なら、その内容を外部のWebサイトに送ることもできる。また、表示しているWebページを遷移して、フィッシングサイトに移動させることも可能だ。こうした方法で収入を得る不正な開発者もいるだろう。  Webブラウザの拡張機能を入れて、様々な権限の許可を与えることは、家の中に知らない人を入れて、行動の許可を与えるに等しい。よく考えて使わないと、気付かない間に被害に遭うことがある。

拡張機能と権限

 私はプログラムを書く。Webブラウザ上のちょっとした処理ならブックマークレット(ブックマークとして動作するプログラム)を書く。少し複雑な動作が必要になると拡張機能を作成する。Chromeのウェブストアに登録しないプライベートなものだ。  自分で作って自分で利用するので、セキュリティ的な心配をせずに済む。そうしたことをしていると、大きな被害を与えられる処理を簡単に書けることが分かる。  Chrome ウェブストア ヘルプの「アプリや拡張機能によりリクエストされる権限」というページを見てみよう。 「危険度高」「危険度中」「危険度低」という項目が並んでいる。このうち、高と中の内容と説明文を転載する。 * 危険度高 * パソコンと閲覧したウェブサイト上のすべてのデータにアクセスする権限がリクエストされています。権限を許可した場合、そのアプリや拡張機能では、ほぼすべてのデータにアクセスできるようになります。これには、ウェブカメラのデータ、個人のファイルなど、ブラウザの内部、外部を問わずあらゆるデータが含まれます。 * 危険度中 * 次のデータにアクセスする権限がリクエストされています。 * 閲覧したすべてのウェブサイト上のユーザーデータ: * 権限を許可した場合、そのアプリや拡張機能では、ユーザーが閲覧したすべてのページ(銀行口座、Facebook など)からのデータの読み取り、リクエスト、変更が可能になります。 * 一部のウェブサイト上のユーザーデータ: * 権限を許可した場合、そのアプリや拡張機能では、特定のウェブサイトでユーザーが閲覧したページ上のデータの読み取り、リクエスト、変更が可能になります。  ちなみにには、「インストールしたアプリ、拡張機能、テーマ」「ブックマーク」「閲覧履歴」「タブと閲覧アクティビティ」「物理的な場所」「コピーと貼り付けを行ったデータ」という項目がある。  こうした権限を組み合わせれば、様々な情報を盗んだり、ユーザーを騙したりすることができる。
次のページ 
信頼か自己防衛か
1
2