Chrome拡張機能の広告ブロックがマルウェア化はなぜ起きたのか? ユーザーに自衛手段は?

ソフトウェアは売買される

 個人で開発しているソフトの多くは、本来の仕事とは別に、プライベートの時間を削って開発されている。そのため、人気が出て更新の頻度が上がれば、プライベートの時間を圧迫する。  そうした場合の、開発者、利用者のいずれにもウィン・ウィンになる方法の1つが、ソフトウェアの事業化や買収である。  開発資金を募り、ソフトウェアの更新を本業にするケースもある。あるいは、企業に買収してもらい、自分はその企業の社員として開発を続けるケースもある。完全に他の会社に引き取ってもらい、自分は開発から解放されるというケースもある。  近年、よく問題になるのが、他の会社にソフトを売却して、完全に引き取ってもらうケースだ。利用者からしてみれば、いつの間にか開発者が変わっているわけだ。そして購入した会社は、ソフトウェアの中に、収益化するためのプログラムを追加したりする。  企業が買収するということは、どこかで買収費用を回収しなければならない。社会貢献として、無料で配布を続けるケースもあるが、普通は何らかの方法で収益化しようとする。  有料化したり、無料版と有料版を作って差別化したりすることもある。ただ、そのせいで、ユーザーが離れてしまうこともあるので、大きな賭けになる。  他には広告を載せるというやり方もある。買収費用を賄える広告費が得られるのならば、こうしたやり方もありだろう。  そうしたやり方とは別に、手っ取り早く、利用者の個人情報を抜いたり、オンライン犯罪のプラットフォームにしてしまうという方法もある。買収したソフトを、マルウェアやスパイウェアに改造するわけだ。

マルウェア化、スパイウェア化する拡張機能

 人気のあるソフトは、多くの人が使っているので大丈夫だろうと思われやすい。そのため、悪意のある処理や権限を追加しても、さほど気にされないケースが多い。そうなると利用者は、気付かないうちに被害を受けることになる。  たとえば、Webブラウザーの拡張機能なら、こうしたことができる。Webページを改竄して、詐欺ページに誘導する。正規のオンラインバンクで入力したキーストローク情報を、特定のサーバーに送る。クリップボードの中身を、そのまま盗む。  また、誰がどんなWebサイトを見ているか分かれば、その情報をマーケティング用の情報として売ることもできる。  もっと直接的に、閲覧情報を金に換えることもできる。性的なページを見たことを理由に、架空請求をするということのもありだろう。使っているオンラインショッピングサイトが分かれば、注文日と注文商品を書いた詐欺メールを送ることも可能だ。ショッピングサイトしか知り得ない情報が書いてあれば、普段気を付けている人でも、ころっと騙されるだろう。  このように買収したソフトを悪用すれば、様々な方法で収益を上げることができる。開発者の多くが、そうしたことをしないのは、倫理的なブレーキがあるからだ。  こうした買収によるソフトのマルウェア化、スパイウェア化は、何年も前から問題視されており、定期的にニュースになっている(ITmedia NEWS窓の杜)。  Webブラウザの拡張機能は便利だ。しかし、様々な情報漏洩の元になる。信頼できると思っているソフトでも、いつの間にか開発者が変わっている可能性もある。また、同じ開発者でも、経済状態の悪化などで、開発方針が変わることもある。  Googleでも、マルウェアやスパイウェアとして動作する拡張機能は、積極的に排除している。しかし、ネット越しに更新されるソフトの開発者が、いつの間にか入れ替わっていることまで把握するのは難しいだろう。  Google Chromeは、複数のユーザープロファイルを作れる。そのため、拡張機能を利用するユーザーと、利用しないユーザーを分けておくのも一つの方法だ。  金銭が絡む操作は、拡張機能が入っていないユーザーでおこなうようにするわけだ。あるいは、事前にオフにするという操作でもよいだろう。  そうした拡張機能を使う場面の切り分けをして、ある程度、自衛する必要があるだろう。 <文/柳井政和>
やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。2021年2月には、SBクリエイティブから『JavaScript[完全]入門』、4月にはエムディエヌコーポレーションから『プロフェッショナルWebプログラミング JavaScript』が出版された。
1
2