密かに動画ビューを稼ぐChrome拡張機能

広く使われているGoogle Chrome拡張機能が、他人のブラウザーから密かに動画ビューを稼ぐために利用されていました。

つい先日、Google Chromeを使用している当社製品ユーザーが「Trojan.Multi.Preqw.gen」を検知したという通知を繰り返し受け取るという現象が発生しました。原因は、ChromeがサードパーティのWebサイトからダウンロードしようとする拡張機能にありました。この記事では本件の概要と、解決策を説明します。※訳注:現在のところ主にロシアで問題が発覚しているようです

悪意ある拡張機能

当社のエキスパートはYandexのエキスパートと共同で、何者かがChromeの拡張機能を悪用して、他人が使用しているChromeを自分の利益のために働かせようとしていることを突き止めました。悪用された20個以上の拡張機能の中には、多くの利用者を抱えるfriGate Light、friGate CDN、SaveFromが含まれています。

これら拡張機能は800万人もの人々が使うブラウザーにインストールされており、これらがバックグラウンドでリモートサーバーにアクセスして悪意あるコードをダウンロードしようとするのを、当社製品が危険なものとして検知していました。

攻撃者の意図と利用者への影響

その何者かの意図は、動画へのトラフィックを生成することでした。密かに他人のブラウザー内で動画を再生し、ストリーミングサイトでの再生回数を稼ごうとしていたのです。

この目に見えぬ動画プレイヤーは、Chromeブラウザーを使ってネットにアクセスを開始すると初めて起動します。動画を再生すればコンピューターの処理速度が遅くなりますが、これを、Chromeの読み込みが遅いせいだと思わせるためです。

Yandexのエキスパートによると、このうちいくつかの拡張機能を利用している人は、バックグラウンドで再生されている動画の音が時々聞こえたとのことです(ロシア語記事)。

それだけでなく、この拡張機能はSNSへのアクセスも傍受していました。おそらく、後に「いいね」のカウントも稼ごうという目的でしょう。実際の目的が何であれ、SNSアカウントのセキュリティが侵害されるのは好ましいことではありません。

自分でできること

お使いのセキュリティ製品がGoogle Chromeの、またはChromiumをベースにしているブラウザー内で脅威を検知し始めたら、まずは検知機能に引っかかっている悪意ある拡張機能を無効化してください。どの拡張機能が該当するのか分からない場合は、いったん全部の拡張機能を停止してから、どれが該当するのか一つ一つ確認していきましょう。

Yandexでは、Yandex.Browser(Chromeベースのブラウザー)の該当する拡張機能をすでに自動無効化済みで、それ以外の拡張機能についても調査を継続しています。

カスペルスキー製品をお使いではない場合、ご自分のブラウザーに該当の拡張機能が入っていないか気になるという方は、当社製品をお試しいただくことも可能です。

ヒント