実は盲点だったWebサービスの悪意あるアップデート

HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

• [Chrome]
• [セキュリティ]
• [マルウェア]
• [Chrome拡張機能]

周知兼ねてブクマ。自動的にアップデートされるようなサービス・アプリケーションってこういう部分が色々と難しい。

2016/11/03 16:11

Google Chromeの拡張機能というと、使う人はガリガリ使うけどそうじゃないと案外放置だったりするわけですが。

今回の件を簡単にまとめると、かなり人気のあるChromeの拡張機能「HTTP Headers」*1にマルウェアが仕込まれてアップデートされ、色々なWebサービスのIDやパスワードが抜かれていたという話です。

詳しい技術的な話ははてブした先に書いてあるので省きます。
ここで書きたいのはWebサービスの安全性というところです。

Chrome拡張機能自体、PCにインストールするわけではなくてブラウザ上に機能を追加するという仕組みです。当然OS上に何か新しいアプリケーションを導入するわけじゃないので、インストールの警告も出ないわけで。オープンソースのソフトウェアなんかであれば、通常インストールする際にWindowsでもLinuxでも特権昇格をしないと出来ないわけで、一応仕組み上怪しいものを弾くことができるけど、これはそれも出来ない。
知らぬ間に悪意あるアップデートが仕込まれてIDやらパスワードを抜かれているという寸法です。

自動アップデートされるソフトウェアって増えているけども、Webサービス系を中心に関してはこの手の対策が等閑になっているきらいがありますね。はてブ先にも書いてますね。

自動アップデートされるソフトウェア全般において、これは避けようのない事故なんですかね？（問題提起）

HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

例えば大概のOSにインストールソフトウェアであれば、setup.exeを叩くときに明示的にアップデートに気づけるんですよ。これはアップデートでも同じで、モジュールをダウンロードするところまでは自動的に動いてもsetup.exeが実行される段階で止められる。そこでアップデート内容を確認して怪しければインストールしないで済む。
ところがWebサービス系の場合はそれも無いんですよね。事実このHTTP Headersでもアップデートについての表示が出なかったわけですし。

これ、Chrome拡張機能に限った話じゃなくて、例えばInternet Explorerの後継であるEdgeも拡張機能を持っているしFirefoxなんかもそうですね。同じような問題が発生しないという保証はどこにもありません。
恐ろしいことだと思いますよ。昨日まで普通に使っていたサービスがいきなり悪意あるものにすり替わる。ちょっとしたホラー小説みたいですよ。
同時にコミュニティ的に「こんな機能作ってみたよ」というノリで拡張機能を公開するというエコシステムだったところが、将来的にiOSのアプリケーションのように事前にGoogle等の審査を受けないと公開できないだとか、公開するためには一定金額を支払う必要があるとか、コミュニティを毀損する方向になりかねない。

マルウェアが仕込まれてしまう可能性があるということの恐怖も去ることながら、そういう形でエコシステムが破壊されてしまってWebの世界がつまらないものになるということも恐怖もあるあたり、真剣に考えないと拙いことだと思います。