Google Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信

Google Chrome拡張機能開発者のChromeウェブストアアカウントが乗っ取られ、アドウェア入りの拡張機能が配信されるトラブルが1週間で2件発生している(The a9t9 Automation Blogの記事、Blog on chrispederick.comの記事、The Registerの記事、Ars Technicaの記事)。

乗っ取りが発生したのは「Copyfish」を開発するa9t9のアカウントと、「Web Developer」を開発するChris Pederick氏のアカウント。いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。

Pederick氏は異変に気付いて数時間で新バージョンの差し替えを完了している。一方、a9t9はCopyfishが攻撃者のアカウントに移されていたため、差し替えが完了したのは3日後だったそうだ。さらに開発者アカウントが一時停止されるトラブルも発生したとのこと。なお、a9t9は改変部分のコードを含め、実際にどのような改変が行われていたのかについても紹介している。

Googleでは開発者に無料で二要素認証機能を提供しているが、必須ではなく、両者とも有効にしていなかったようだ。今回配信された不正な拡張機能はWebページに広告を表示するだけのものだが、Ars Technicaの記事ではセキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性も指摘している。

　スラドのコメントを読む | ITセクション | Chrome | セキュリティ | 広告 | デベロッパー

　関連ストーリー：
開発者向けGoogle Chromeに広告ブロック関連のオプションが追加される 2017年08月04日
Google Chrome 60ではSSL証明書の確認が容易に 2017年08月02日
Adobe Readerをインストールすると勝手にインストールされるChrome拡張に脆弱性が発見される 2017年01月23日