ここから本文です

Google Chromeの人気拡張機能に不正なコード混入、作者にフィッシング詐欺攻撃

8/3(木) 9:17配信

ITmedia エンタープライズ

 米GoogleのWebストアで提供されている、Chromeブラウザ向けの拡張機能「Web Developer」が何者かにハッキングされ、不正なコードを仕込んだバージョンがアップロードされる事件が起きた。作者は8月2日、更新版を公開してユーザーにアップデートを促している。

【Web Developerの英語レビューページにはいまだに不具合を指摘する書き込みがある】

 Web Developerは各種のWeb開発ツール用のボタンをブラウザに表示するためのツールバーで、作者は米ソフトウェアエンジニアのクリス・ペデリック氏。英語版のユーザーは100万を超えている。

 ペデリック氏は8月2日、Twitterで「Web Developer for Chromeのアカウントが不正侵入され、ハッキングされたバージョンの拡張機能(0.4.9)がアップロードされた」と伝えた。

 ハッキングされた拡張機能はいったん提供を中止して、不正なコードを削除した「バージョン0.5」を改めて公開。「直ちにアップデートして下さい」と呼び掛けている。

 原因については「愚かにも自分のGoogleアカウントに対するフィッシング攻撃にだまされた」と説明した。他のChrome拡張機能でも同じような被害の発生が伝えられているという。

 英ITニュースサイトのRegisterによると、ハッキングされたWeb Developerのバージョン0.4.9では、WebからJavaScriptのコードを取得して、ブラウザに不正な広告を表示する仕掛けになっていた。このバージョンをインストールしてしまった場合、直ちにバージョン0.5に更新したうえで、0.4.9を使っている時に閲覧したWebサイトのパスワードを変更するか、ログイントークンやcookieを無効にすることを検討した方がいいとしている。

 Web DeveloperはFirefox向けにも提供されているが、こちらはハッキングの被害には遭っていないと思われるという。