編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
調査

Chrome拡張機能の安全性がわかる「CRXcavator」--Chromeウェブストアにリストされる12万件の調査結果は

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-02-25 11:19

 Chromeウェブストアにリストされている12万463件の「Google Chrome」の拡張機能とアプリを調査したところ、約35%があらゆるウェブサイトにあるユーザーのデータを読み込みむことができることがわかった。また、これら約12万のうち、プライバシーポリシーを掲示していないものは約85%にものぼった。つまり、その拡張機能の開発者がユーザーデータの処理をどのように行うかを記すドキュメントがないということである。

 調査は米国のサーバーセキュリティ企業Duo Labsが、自社開発した新しいツール「CRXcavator」を使って調べたものだ。調査ではまた、Chrome拡張機能の約77%がサポートサイトを掲示しておらず、約32%が既知の脆弱性を含むサードパーティのJavaScriptライブラリを使っていることもわかった。クッキーデータを読むことができるものは9%あったという。

提供:Image: Duo Labs
提供:Image: Duo Labs

 調査を行なった研究者らは、ユーザーにリクエストするパーミッションの種類、どの外部ドメインとやりとりしているのか、脆弱性のあるライブラリが含まれているかなどを調べ、 Content Security Policy(CSP)をチェックして、公開されている拡張機能やアプリがプライバシーポリシーや作者についての情報を公開しているかも調べた。

 調査結果はCRXcavatorのポータルから見ることができ、ユーザーはお気に入りの拡張機能に関するセキュリティレポートをチェックできる。Duo Labsの研究者が見逃したものについては、拡張機能の情報を入力してスキャンしてもらうことも可能だ。

 Duo Labsは同時に、「CRXcavator Gatherer」という拡張機能も公開した。エンタープライズユーザー向けに開発したもので、システム管理者は従業員のPCにインストールして従業員が自分のシステムにインストールしている拡張機能を調べ、そのデータを事前にCRXcavatorポータルに作成していたCRXcavatorアカウントに送ることができる。

 これにより管理者は、ユーザーが自分のシステムにインストールしている各拡張機能のCRXcavatorのリスクスコア情報を得ることができ、ネットワーク全体のポリシーに沿って使用を認めたり却下することができる。

 犯罪グループは、拡張機能を維持することに興味を失った開発者からそれを購入したり、開発者のアカウントをハイジャックして悪意のあるコードを広めることを狙ってスピアフィッシング攻撃を仕掛けたりすることが知られている。

 Chromeの拡張機能は産業スパイや詐欺行為に使用される危険性に常にさらされており、企業は規模の大小を問わず、留意する必要がある。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]