Chrome拡張機能詐欺調査：危険な偽アプリの実態とChromeの脆弱性

Chrome拡張機能詐欺調査：危険な偽アプリの実態とChromeの脆弱性

皆さん、こんにちは！今回は、Chrome Webストアにおける偽の拡張機能に関する衝撃的な調査結果についてお伝えします。以前、FaceTimeやSnapchatといった人気アプリを装った偽拡張機能を紹介しましたが、それらは単なる個人データ収集のためのアンケートサイトへの誘導ツールでした。しかし、今回の調査はさらに深く、Chromeのセキュリティに関する深刻な問題点を浮き彫りにします。

偽拡張機能の蔓延：Googleの監視体制の限界

以前の動画では、Chrome Webストアに存在する偽のFaceTimeやSnapchat拡張機能を検証しました。これらの拡張機能は、一見すると本物のアプリのように見えますが、実際にはユーザーの個人データを収集するための罠でした。

今回の調査で改めて浮き彫りになったのは、GoogleがChrome Webストアの拡張機能を十分に監視できていないという事実です。多くの偽拡張機能が依然として存在し、ユーザーを危険にさらしています。

Googleは、以前の報告を受け、一部の偽FaceTime拡張機能を削除したと発表しました。しかし、依然として多くの偽拡張機能がWebストアに残っており、その中には「FaceTime for PC」のように、以前の動画で取り上げたものと類似した拡張機能も含まれています。

私は、これらの偽拡張機能をGoogleに不正と報告しましたが、「FaceTime for PC」は依然として存在しています。これは、Googleの監視体制の限界を改めて示すものです。

悪質な拡張機能のインストール実験：Chromeの限界に挑む

そこで、今回は実験として、これらの偽拡張機能を可能な限り多くインストールし、Chromeの挙動を観察することにしました。目的は、Chromeが使用不能になるまで、またはクラッシュするまで、どれだけの偽拡張機能をインストールできるか検証することです。

Chromeはもともとメモリ消費量が多いことで知られています。実験開始時点では、わずか2つのタブを開いているだけで、256MBのRAMを消費していました。システム全体では50%の容量を使用していました（実験には4GBのRAMを搭載した仮想マシンを使用）。

実験開始

まず、以前検証済みの「FaceTime for PC」と「Snapchat for Chrome」をインストールしました。これらの拡張機能は、以前の検証通り、何の効果もありませんでした。

驚くべきことに、Chromeは「Snapchat for Chrome」を「欺瞞的なサイト」としてフラグしました。これはChromeのセキュリティ機能が機能していることを示唆する一方で、なぜ他の偽拡張機能が検知されないのかという疑問を残します。

次に、多くの類似したSnapchat拡張機能を追加しました。それらをすべてピン留めし、拡張機能バーの限界に挑戦しました。

ある拡張機能は、短いURLを使用していましたが、そのURLはすでに無効になっていました。これは、Googleが対応を進めている可能性を示唆しています。

さらに、TikTok動画のダウンロードを謳う拡張機能を検証しました。この拡張機能には6万以上のユーザーと116件のレビューがあり、4つ星評価を得ているため、本物と間違えられやすいです。しかし、権限を確認すると、TikTokのデータの読み書き、閲覧履歴の閲覧、ダウンロードの管理権限を求めていました。閲覧履歴の閲覧権限は問題です。この拡張機能は、TikTokアカウントがなくても使用できると主張していましたが、実際にはTikTokの動画へのアクセスが拒否されました。レビューを見ると、機能しないという報告が多数ありました。これは、TikTok側が対応し、この拡張機能が無効になった可能性を示唆しています。

偽アプリの巧妙な手口：ユーザーレビューと偽装

実験では、さまざまな偽拡張機能が発見されました。その中には、高い評価を得ているにもかかわらず、実際には機能しないものも多く存在しました。

これらの拡張機能は、ユーザーレビューやアイコンを巧みに偽装することで、あたかも本物のアプリであるかのように見せかけています。

例えば、「Apple iTunes for PC」という拡張機能は、3つ星評価を得ていましたが、レビューには「何もせず時間を無駄にするだけ」という声が多数ありました。この拡張機能は、iTunesの検索やダウンロードを謳っていますが、実際にはBing検索にリダイレクトするだけです。

また、「無料iTunesギフトカード」を謳うテーマ（拡張機能ではない）もありました。このテーマは、1件の5つ星レビューしかありませんでしたが、「お金を節約できる」と主張していました。しかし、その真意は、アンケートサイトへの誘導です。

これらの例からも分かるように、偽拡張機能はユーザーを欺くために、巧妙な偽装と操作を駆使していることがわかります。

危険な罠：アンケートサイトと個人情報流出のリスク

これらの偽拡張機能は、いずれも最終的にユーザーをアンケートサイトに誘導します。これらのアンケートでは、個人情報やクレジットカード情報など、重要な情報を入力するよう求められます。

アンケートサイトは、一見すると無害に見えますが、実際にはユーザーの個人情報を悪用する目的で作成されている可能性が高いです。個人情報を悪用されると、金銭的な損失やプライバシー侵害といった深刻な被害を受ける可能性があります。

TikTokのフォロワー数を増やすことを謳う拡張機能も検証しました。この拡張機能は、ユーザー名を入力すると、多数のフォロワー、いいね、ファンを獲得できると主張していました。しかし、実際には、アンケートへの回答を要求し、個人情報を収集していました。さらに、ファンという指標は、TikTokでは使用されていないため、これは偽装です。

Chromeのセキュリティ対策：改善の必要性

今回の実験を通じて、Chrome Webストアにおける偽拡張機能の問題の深刻さが改めて浮き彫りになりました。Googleは、より厳格な監視体制を構築し、偽拡張機能を迅速に削除する必要があります。

また、ユーザー側も、拡張機能をインストールする際には、十分に注意する必要があります。レビューや権限などを慎重に確認し、怪しい拡張機能はインストールしないようにしましょう。

実験結果：Chromeの限界と対策

実験の結果、Chromeは膨大な数の偽拡張機能のインストールにも耐えましたが、ハードウェアアクセラレーションをオフにしたことで、Chromeはすぐに応答しなくなりました。これは、Chromeが大量のタブを開くとパフォーマンスが低下することを示しています。

最終的にChromeはクラッシュし、システムリソースを最大限に消費していました。これは、Chromeがセキュリティとパフォーマンスの両面で改善が必要であることを示しています。

実験の結果、以下のことが明らかになりました。

• 多くの偽拡張機能がChrome Webストアに存在する。
• Googleの監視体制には限界がある。
• 偽拡張機能は、ユーザーを欺くために巧妙な偽装を駆使する。
• 偽拡張機能は、個人情報やクレジットカード情報を収集する危険性がある。
• Chromeは、大量のタブを開くとパフォーマンスが低下する。

この実験は、Chromeユーザーにとって、常に警戒し、安全なブラウジングを心がけることの重要性を再確認させてくれました。

まとめ：安全なブラウジングのための注意点

Chrome Webストアにおける偽拡張機能は、ユーザーにとって深刻な脅威です。安全なブラウジングのために、以下の点に注意しましょう。

• 拡張機能のインストール前に、レビューや権限を慎重に確認する。
• 不審な拡張機能はインストールしない。
• 定期的にChromeを更新する。
• 不審なウェブサイトにアクセスしない。
• 個人情報を安易に入力しない。

今回の調査は、Chromeのセキュリティの脆弱性を浮き彫りにしました。Googleには、より効果的な対策を講じる必要があり、ユーザーは安全なブラウジングを心がける必要があります。今後も、Chrome Webストアの動向を注視し、危険な偽拡張機能の情報提供を続けていきたいと思います。ご視聴ありがとうございました！