【ITニュース解説】悪意あるブラウザー拡張機能が増加--巧妙化する手口と取るべき対策

ウェブブラウザー拡張機能は、インターネットの利用をより便利で快適にするための小さなプログラムである。ブラウザーに機能を追加したり、既存の機能を強化したりすることで、ユーザーは自分の使い方に合わせてブラウザーをカスタマイズできる。例えば、広告をブロックしたり、パスワードを安全に管理したり、翻訳機能を強化したりと、その種類は多岐にわたる。システムエンジニアを目指す上でも、これらの拡張機能は開発効率の向上や情報収集に役立つ便利なツールとして認識されることが多い。しかし、近年、この便利なはずのブラウザー拡張機能の中に、ユーザーに害を及ぼす「悪意ある」ものが増加し、その手口も巧妙化していることが報告されている。この問題は、個人ユーザーだけでなく、企業や組織のセキュリティを脅かす深刻なリスクとなりつつあり、将来システム開発や運用に携わるであろう初心者のシステムエンジニアにとって、その実態と対策を理解することは極めて重要である。

以前の悪意ある拡張機能は、分かりやすい形でユーザーに不利益を与えるものが多かった。例えば、突然大量の広告を表示したり、ブラウザーの動作を極端に遅くしたりするなど、不審な挙動が目立つものが多かった。しかし、最近の手口は非常に巧妙であり、ユーザーが悪意に気づきにくいように工夫されている。具体的には、正規の、あるいは人気のある既存の拡張機能に酷似した名前やアイコンを持つ偽物が作られ、ユーザーが誤ってインストールするように誘導されるケースがある。また、オープンソースとして公開されている無害な拡張機能のコードに、ひそかに悪意あるコードが挿入され、それが新たなバージョンとして配布されるといったサプライチェーン攻撃の一種も確認されている。さらに巧妙なのは、最初は全く無害な状態で公開され、多くのユーザーにインストールされた後、ある時点で「アップデート」と称して悪意あるコードが追加されるパターンである。これにより、ユーザーは当初の安全な状態を信じて使い続け、気づかないうちに悪質な機能が実行されてしまう。

これらの悪意ある拡張機能が具体的に何を行うかというと、その目的は多岐にわたる。最も一般的なのは、ユーザーの個人情報の窃取である。例えば、ウェブサイトの閲覧履歴、入力したログイン情報（IDやパスワード）、クレジットカード情報、あるいはその他の機密性の高い個人データを密かに収集し、外部の攻撃者のサーバーに送信してしまう。これによって、ユーザーのアカウントが乗っ取られたり、金銭的な被害に遭ったりする可能性がある。また、ユーザーの意図しない広告を強制的に表示したり、特定のウェブサイトへ強制的にリダイレクトさせたりすることもよくある手口である。これにより、詐欺サイトへ誘導されたり、不正なソフトウェアのダウンロードを促されたりすることもある。さらに、ユーザーのコンピューターのリソース（CPUやメモリなど）を許可なく利用し、仮想通貨のマイニング（採掘）を行うことで、コンピューターの処理速度を低下させたり、電力消費を増大させたりするケースも報告されている。企業や組織においては、個人の情報だけでなく、企業内部の機密情報が漏洩したり、企業のネットワーク全体への侵入の足がかりとして悪用されたりするリスクもある。

このような脅威に対して、システムエンジニアを目指す初心者が取るべき対策はいくつかある。第一に、拡張機能をインストールする際は、必ず信頼できる提供元からのみ行うことである。各ブラウザーの公式ウェブストア（Chromeウェブストア、Firefox Add-onsなど）を利用し、さらにその提供元が信頼できる企業や開発者であるかを確認することが重要である。見知らぬウェブサイトからダウンロードしたり、不審なリンクをクリックしてインストールしたりすることは絶対に避けるべきである。次に、拡張機能をインストールする前に、そのレビューや評価、そして最終更新日などを確認することである。評価が極端に低い、あるいはレビュー数が極めて少ない、長期間更新されていないといった拡張機能は注意が必要である。

さらに重要なのは、拡張機能が要求する「権限」を細かく確認することである。例えば、PDFビューアの拡張機能が「すべてのウェブサイトのデータを読み取り、変更する」といった広範な権限を要求している場合、その機能に対して過剰な権限である可能性が高い。本当にその権限が必要なのか、よく考えて判断しなければならない。不要な拡張機能はインストールしないことも重要である。多くの拡張機能をインストールすることは、利便性を高める一方で、潜在的なセキュリティリスクを増大させることになる。現在インストールしている拡張機能についても、定期的に見直しを行い、もう使っていないものや不必要だと判断したものは速やかに削除することが推奨される。

システムのセキュリティは、常に最新の状態を保つことで強化される。ブラウザー本体やOSはもちろんのこと、インストールしている拡張機能も常に最新バージョンに更新することを心がけるべきである。セキュリティアップデートには、既知の脆弱性（セキュリティ上の弱点）を修正するための重要なパッチが含まれていることが多いため、これを怠ると攻撃の標的となりやすくなる。万が一、ログイン情報が漏洩した場合に備え、多要素認証（パスワードだけでなく、スマートフォンアプリなどで発行されるワンタイムパスワードなど、複数の方法で本人確認を行う仕組み）を有効にすることも非常に効果的な対策である。これにより、仮にパスワードが盗まれても、攻撃者は追加の認証手段がなければアカウントにアクセスできないため、セキュリティが大幅に向上する。

システムエンジニアとして、将来的に開発するサービスやシステムがブラウザーを通じて多くのユーザーに利用されることを考えると、クライアントサイドのセキュリティ脅威に対する深い理解は必須である。また、企業や組織のIT環境を管理する立場になった際には、従業員が利用する拡張機能についても、セキュリティポリシーを策定し、必要に応じて一元管理ツール（MDM: モバイルデバイス管理など）を導入して管理する必要があることを理解しておくべきである。ブラウザー拡張機能は便利なツールであると同時に、潜在的な脅威となりうる両面性を持つため、その利用には常に注意と警戒が必要である。