Chrome拡張機能の広告ブロックがマルウェア化はなぜ起きたのか? ユーザーに自衛手段は?

Chrome拡張機能の広告ブロックがマルウェア化はなぜ起きたのか? ユーザーに自衛手段は?

Image by Gerd Altmann from Pixabay

◆Chrome拡張機能の広告ブロックソフトがマルウェア化

 10月の中旬から下旬に掛けて、Google Chrome向けの拡張機能である、nano系の広告ブロックソフトがマルウェア化しているという話が流れてきた。最初に見たのは、NanoAdblocker と NanoDefender が、正体不明の開発者に買収されたというものだった(280blocker)。続いての情報は、買収後のソフトを検証したところマルウェアになっていると分かったというものだった(280blocker)。

 広告ブロック、アドブロックと呼ばれる種類のソフトは、馴染みがないかもしれない。Webサイトを閲覧するときに出てくる広告の読み込みを妨害したり、非表示にしたりするソフトのことだTechCrunch Japan。

 広告をブロックする方法は色々とある。Webページを改変して、表示される広告を消す。広告配信サーバーへの通信をブロックする。こうしたソフトでは、URLのリストを使い、広告配信元か確かめてブロックをおこなったりする。

 広告ブロック系のソフトを使うと、当然ながら、広告を導入しているWebサイトの収益が減る。そのため、Webサイト側からすると困ったソフトだ。広告収益で運営されているメディアから広告を消すと、本来払うべき対価を払っていない状態になる。

 そのため広告ブロック系のソフトは、メディアから目の敵にされることも多い。メディアによっては、広告ブロックを使っている閲覧者には、記事を表示しないなどの方法で対処することもある。

◆無料ソフトのメンテナンスコスト

 さて、今回問題になったChrome拡張機能だが、開発者が自身のソフトを売却したのには理由がある。こうしたソフトの開発は、限られた個人の時間を使っておこなうことが多い。

 昔のソフトは、作って公開すれば終わりのものが多かったが、今のソフトは、セキュリティの問題に対処しなければならないことが多く、本来の目的以外の膨大な作業が発生しやすい傾向がある。

 またソフトウェアは、人気が出て、多くの人が使うようになると、開発者が想定しないような場面や用途で使われることも増える。

 たとえば、Webページを改変して、見た目を変えるソフトがあったとする。自分がよく見る1サイトのために開発したプログラムを公開した結果、何万人もの人が、何百万ものサイトで使うようになったとする。

 開発時には予想もしなかったようなバグが発生するし、特定の条件で動かなかったり、セキュリティ的な問題が発生したりする。人気ソフトほど、問題が多く発見されて、その対応は忙しくなる。

 そうした問題を大量に送られて、延々と修正をしていると、自分は何をしているのだろうという気持ちになることもある。そうした場合、モチベーションが続かず、開発を断念することもある。また、開発の優先順位が下がり、更新が止まるケースもある。

 セキュリティ的な問題があるのならば、何らか対処しなければ安全に使えない。しかし、開発を続けることが、時間的、精神的に厳しくなっている場合は、危険を承知して放置するか、ソフトの公開をやめるかを選ぶ状況になる。あるいは別の方法を模索する必要が出てくる。

 そうした状況の中で、NanoAdblocker と NanoDefender の開発者が選んだのは、ソフトウェアの買収に応じることだった(GitHub)。

◆ソフトウェアは売買される

 個人で開発しているソフトの多くは、本来の仕事とは別に、プライベートの時間を削って開発されている。そのため、人気が出て更新の頻度が上がれば、プライベートの時間を圧迫する。

 そうした場合の、開発者、利用者のいずれにもウィン・ウィンになる方法の1つが、ソフトウェアの事業化や買収である。

 開発資金を募り、ソフトウェアの更新を本業にするケースもある。あるいは、企業に買収してもらい、自分はその企業の社員として開発を続けるケースもある。完全に他の会社に引き取ってもらい、自分は開発から解放されるというケースもある。

 近年、よく問題になるのが、他の会社にソフトを売却して、完全に引き取ってもらうケースだ。利用者からしてみれば、いつの間にか開発者が変わっているわけだ。そして購入した会社は、ソフトウェアの中に、収益化するためのプログラムを追加したりする。

 企業が買収するということは、どこかで買収費用を回収しなければならない。社会貢献として、無料で配布を続けるケースもあるが、普通は何らかの方法で収益化しようとする。

 有料化したり、無料版と有料版を作って差別化したりすることもある。ただ、そのせいで、ユーザーが離れてしまうこともあるので、大きな賭けになる。

 他には広告を載せるというやり方もある。買収費用を賄える広告費が得られるのならば、こうしたやり方もありだろう。

 そうしたやり方とは別に、手っ取り早く、利用者の個人情報を抜いたり、オンライン犯罪のプラットフォームにしてしまうという方法もある。買収したソフトを、マルウェアやスパイウェアに改造するわけだ。

◆マルウェア化、スパイウェア化する拡張機能

 人気のあるソフトは、多くの人が使っているので大丈夫だろうと思われやすい。そのため、悪意のある処理や権限を追加しても、さほど気にされないケースが多い。そうなると利用者は、気付かないうちに被害を受けることになる。

 たとえば、Webブラウザーの拡張機能なら、こうしたことができる。Webページを改竄して、詐欺ページに誘導する。正規のオンラインバンクで入力したキーストローク情報を、特定のサーバーに送る。クリップボードの中身を、そのまま盗む。

 また、誰がどんなWebサイトを見ているか分かれば、その情報をマーケティング用の情報として売ることもできる。

 もっと直接的に、閲覧情報を金に換えることもできる。性的なページを見たことを理由に、架空請求をするということのもありだろう。使っているオンラインショッピングサイトが分かれば、注文日と注文商品を書いた詐欺メールを送ることも可能だ。ショッピングサイトしか知り得ない情報が書いてあれば、普段気を付けている人でも、ころっと騙されるだろう。

 このように買収したソフトを悪用すれば、様々な方法で収益を上げることができる。開発者の多くが、そうしたことをしないのは、倫理的なブレーキがあるからだ。

 こうした買収によるソフトのマルウェア化、スパイウェア化は、何年も前から問題視されており、定期的にニュースになっている(ITmedia NEWS、窓の杜)。

 Webブラウザの拡張機能は便利だ。しかし、様々な情報漏洩の元になる。信頼できると思っているソフトでも、いつの間にか開発者が変わっている可能性もある。また、同じ開発者でも、経済状態の悪化などで、開発方針が変わることもある。

 Googleでも、マルウェアやスパイウェアとして動作する拡張機能は、積極的に排除している。しかし、ネット越しに更新されるソフトの開発者が、いつの間にか入れ替わっていることまで把握するのは難しいだろう。

 Google Chromeは、複数のユーザープロファイルを作れる。そのため、拡張機能を利用するユーザーと、利用しないユーザーを分けておくのも一つの方法だ。

 金銭が絡む操作は、拡張機能が入っていないユーザーでおこなうようにするわけだ。あるいは、事前にオフにするという操作でもよいだろう。

 そうした拡張機能を使う場面の切り分けをして、ある程度、自衛する必要があるだろう。

<文/柳井政和>

【柳井政和】

やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。

関連記事(外部サイト)