キヤノンMJ/サイバーセキュリティ情報局

Webブラウザーの拡張機能に潜む危険性とその対策

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Webブラウザーの拡張機能に潜む危険性、マルウェアとは?」を再編集したものです。

 Webブラウザー向けに、機能追加・拡張の仕組みが用意されている。その利用はユーザーにとってメリットがあることから、積極的に利用していたユーザーも少なくない。一方で、セキュリティ上の懸念が近年指摘されている。この記事では、ブラウザーの拡張機能の概要と、その危険性について解説する。

Webブラウザーの拡張機能とは

 Webサイトを閲覧する際に必要となるのがWebブラウザーだ。Google Chrome、Microsoft Edge、Safari、FirefoxといったWebブラウザーがパソコン、スマートフォン(以下、スマホ)向けにそれぞれ提供されている。

 パソコン向けのWebブラウザーには機能の追加、あるいは強化するための仕組みが用意されている。こうした拡張機能はアドオンとも呼ばれ、初期状態のWebブラウザーでは実現できない機能を追加するプログラムはプラグインと呼ばれる。拡張機能はサードパーティから提供されているものが多く、各ブラウザーの提供事業者が設ける専用ストアから簡単にインストールできるようになっている。

 代表的な拡張機能として、Webサイトに表示される広告を自動的にブロックしてくれるアドブロッカー、さまざまなショッピングサイトと価格比較を行う機能、ポイントプログラム用プラグインなどがある。これら拡張機能は、ブラウザーのツールバーにアイコンとして追加されるものが多い。かつては国内大手ポータルサイトでも公式のツールバーを提供していた。

内部記事リンク:ブラウザーのツールバーは危険?その実態を検証する

拡張機能の危険性とは

 拡張機能を利用することで、Webブラウザーの標準搭載されていない機能が利用できるようになる。そのため、ユーザーにとって利便性が高く、以前から利用し続けているユーザーもいるだろう。しかし、昨今では、セキュリティの観点から以下のような懸念が指摘されている。

・強制的に広告を表示するアドウェア

 本来、広告が表示されないWebサイトを閲覧している際に突如、広告が表示されることがある。そのような状況で考えられるのが、拡張機能に潜伏するアドウェアの存在だ。最近では、この仕組みを悪用した「サポート詐欺」なる手法の被害も増えている。アドウェアそのものは直接ユーザーに被害を及ぼすものではないが、見たくない広告が強制的に表示されてしまうことでユーザーに不快感を与える。また、先述のように広告を悪用した「サポート詐欺」や「フィッシングサイトへの誘導」など、より悪質な手法も増えており、注意を払う必要がある。

内部記事リンク:マルバタイジング?アドウェア?ネット閲覧で注意すべき悪質な広告の存在

・拡張機能に偽装するマルウェア

 拡張機能は先述のように、特定の機能を追加するために特化した小さなプログラムである。しかし、小さなプログラムと言えど、Webブラウザーの内部に組み込まれて動作できるということは、マルウェアを開発する攻撃者にとって開発に値する十分な理由となる。追加機能の裏でキーロガースパイウェアとして働く拡張機能をはじめ、巧妙にフィッシングサイトへ誘導しようとする拡張機能も存在する。先述のアドウェアも、こうしたマルウェアの一種と言えるだろう。

内部記事リンク:スパイウェアとは? 隠れた脅威となり得るその実態と対策

・拡張機能に残された脆弱性

 拡張機能自体にマルウェアが仕込まれていない場合でも、過去に開発、リリースされた拡張機能の中にはサポートが終了しているものも少なくない。その場合、露呈した脆弱性が放置されている懸念もあり、そうした脆弱性が狙われるリスクを抱えていることになるのだ。

内部記事リンク:Webブラウザーのセキュリティ対策、適切にできていますか?

バージョンアップでマルウェア化する拡張機能

 拡張機能だけでなく、ソフトウェア、アプリは最新版にアップデートして利用することが推奨されている。しかし、中にはアップデートしたことでマルウェアも意図せずインストールしてしまったというケースもある。

 例えば、2023年2月に発覚したGoogle Chrome向け拡張機能「Get cookies.txt」に関する事例だ。この拡張機能は従来、Webブラウザーに保存されているCookieをNetscape形式のCookieファイル形式へエクスポートする機能を提供するものだった。しかし、アップデートによって、ユーザー情報を無断で外部サーバーに送信する機能が秘密裏に追加されていた。いわゆるスパイウェアと呼ばれる動作である。

 この拡張機能はChromeWebストアにて「おすすめバッジ」が付与されていた。おすすめバッジはアプリストアによる審査をクリアしたものに付与される。そのため、多くのユーザーがその安全性に疑いを持たなかっただろう。巧妙にアプリストアの審査をすり抜けた事例だが、こうしたケースは今後も発生する可能性がある。改めて、ユーザーは常に安全性を確認しながらアップデートを行う必要があることを示した形だ。

Webブラウザーの拡張機能を取り巻く状況

 Webブラウザーに拡張機能を組み込んで利用するといった発想はFirefoxから広がった。拡張機能がWebサイト開発者から絶大な支持を受けたことで、Firefoxのユーザーシェアが上昇。一時期は、マイクロソフト社が提供し、当時トップシェアのWebブラウザーであったInternet Explorerに迫る勢いも見られた。

 その状況を崩したのが2008年にリリースされたGoogle Chromeだった。先行するFirefoxと同様に拡張機能が利用できたことに加え、動作の快適さが評価されるなど、多くのユーザーの支持を得て、今やトップシェアのWebブラウザーとなっている。Google Chromeのシェア拡大と歩調を合わせるように拡張機能もさまざまなものがリリースされ、それらの一部はWebブラウザーの標準機能として取り込まれるようにもなった。

 当時、策定が進められていたWeb標準であるHTML5が普及し、Webサイトのリッチコンテンツ化が加速したことでWebブラウザーに求められる機能も変化。Adobe FlashやMicrosoft Silverlightなどのリッチコンテンツ実現のためのプラグインもその役目を終えることとなった。

 また、サイバー攻撃の高度化・巧妙化により、Webサイトを狙う攻撃が増加。その際に拡張機能自体やその脆弱性を狙うケースも相次いだことで、拡張機能を利用するメリットを実感しづらいような状況となった。こうした環境の変化に伴い、Webブラウザー向けとして新たに提供される拡張機能も一時期ほどではなくなってきている。

内部記事リンク:WebブラウザーChromeが頻繁にアップデートを求める理由とは?

拡張機能を利用する場合の対策、ツール

 Google Chromeの拡張機能の仕様が、「Manifest V2」から「Manifest V3」に変更されたことで大幅な仕様変更を余儀なくされた結果、拡張機能の提供を取りやめるところも出てきている。しかし、その利便性や業務利用のために、当分は利用を継続せざるを得ないという場合もあるかもしれない。仮に利用する必要がある場合、以下のような対策を講じ、ツールなどを併用することで安全性を高めるようにしたい。

・拡張機能自体のアップデート

 セキュリティ対策の基本は脆弱性を放置しないことだ。昨今のWebブラウザーはGoogle Chromeを筆頭に、デフォルトで自動更新に設定されているものも少なくない。しかし、拡張機能の中には個別にアップデートする必要があるものも存在する。自らが利用している拡張機能の、アップデートの状況を定期的に確認するようにしたい。ただし、先述したようにアップデートしたことによってマルウェアが潜伏する場合もあるので注意が必要だ。

・不要な拡張機能はアンインストール

 無料で利用できるからといって、拡張機能を多数インストールしているユーザーもいるだろう。しかし、拡張機能にリスクが生じる可能性があることを考慮すると、不要な拡張機能をそのままインストールしておくことは被害に遭う危険性を高めるだけでしかない。

 本当に必要かどうか、あるいは頻繁に利用するもの以外はアンインストールすることで安全性は高まる。その拡張機能の提供元を確認し、信頼がおけるものだけを利用するようにすることも大切だ。また、不要な拡張機能を削除することでメモリー使用量が減少するため、動作の快適性に寄与する場合もある。

・セキュリティソフトのインストール

 先述のように、今後も拡張機能を狙うサイバー攻撃の手法が生み出される可能性がある。また、安全な拡張機能を装っていたものがある日突然、マルウェアに置き換わる可能性も否定できない。そのため、拡張機能が悪意のある行動をとった場合に備える必要がある。そこで、セキュリティソフトを導入しておくことで、不審な動作が疑われる場合、その動作自体を遮断してくれる。

 ユーザー心理としては、利便性の高い機能を使い続けたいと思うのもわからなくはない。しかし、その取り巻く状況が大きく変わっている以上、利用する際の対処も変えていく必要がある。一番重要なことは、ユーザー当人がこれらの拡張機能を利用するにあたって注意を払うことだ。これは何事も同様だが、完全なる安全は幻想だと捉え、適切な対策やツールを利用するなどして、利便性を享受するようにしてほしい。