セキュリティや利便性をうたう人気のGoogle Chrome 拡張機能の中に、意外にもユーザー情報を平文のHTTPで送信してしまっているものがあることが明らかになりました。これにより、ネットワーク上の第三者が通信を傍受し、ユーザーのプライバシーに重大なリスクをもたらす可能性があることが指摘されています。
目次
対象となった拡張機能
シマンテックの調査によると今回、問題が発覚した主な拡張機能は以下の通りです。
- SEMRush Rank
- PI Rank
- MSN New Tab / MSN Homepage
- DualSafe Password Manager
- Browsec VPN
これらの拡張機能は、それぞれ数万〜数百万のユーザーに利用されており、中にはセキュリティやVPNサービスをうたうものも含まれていました。
各拡張機能の問題点
SEMRush Rank / PI Rank
いずれもユーザーが閲覧しているドメインを、HTTP経由で rank.trellian.com に送信しており、ネットワークを傍受することで閲覧履歴を収集される恐れがあります。
Browsec VPN
6百万以上のユーザーを持つVPN拡張ですが、アンインストール時に送信されるユーザー識別情報や使用統計がHTTP通信で送られていました。VPNというプライバシー重視のツールにおいてこれは大きな矛盾と言えます。
MSN New Tab / Homepage
拡張機能のバージョンやOS、機器を特定できるMachine IDをHTTP通信で送信。これらの情報はプロファイリングやユーザー追跡に悪用されかねません。
DualSafe Password Manager
パスワードマネージャーでありながら、ユーザーのブラウザ言語や使用状況といった情報を平文で送信しており、信頼性の観点から問題視されます。なお、現在はHTTPSに修正済みとのことです。
危険な通信:HTTP経由での情報送信
これらの拡張機能は、以下のような個人情報や識別情報を暗号化せずに送信していたことが確認されています。
- ユーザーが閲覧中のドメイン情報(SEMRush Rank / PI Rank)
- 一意なMachine ID、OS、拡張機能のバージョン(MSN New Tab など)
- アンインストール時のユーザー識別情報(Browsec VPN)
- テレメトリデータ(DualSafe Password Manager)
これらの情報がHTTP経由で送られることで、同じネットワーク内にいる攻撃者(MITM: Man-in-the-Middle)が容易に通信内容を盗聴・改ざんできるリスクが生じます。
利用者・開発者への注意喚起
これらの問題から、以下の点が改めて強調されます:
- 拡張機能が有名であること=安全ではない
- セキュリティやプライバシー関連の拡張機能であっても、通信内容は精査が必要
- HTTP通信は第三者による傍受や改ざんが非常に容易
開発者には、通信の完全なHTTPS化が求められ、利用者側も拡張機能の権限や挙動に注意を払う必要があります。
参照
https://www.security.com/threat-intelligence/chrome-extension-leaks
関連記事
中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説
6000以上のワードプレスがサイバー攻撃とハッキングの被害
F5のBIG-IP Next Central Managerで脆弱性 デバイス乗っ取りが可能に(CVE-2024-26026、CVE-2024-21793)
VeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849)
Apple Safariの脆弱性を悪用するフルスクリーンの中間ブラウザ攻撃
Microsoft、生成AIのガードレールを回避しディープフェイク ネットワークを構築していたグループを提訴
Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)
SNS型投資詐欺とは 手口や被害事例を解説
最大600万ユーザーに影響か-Chrome 拡張機能に潜むユーザートラッキングコード
