オタク日記

三代目オタク日記

Webサイトに不正なコードを埋め込んで広告を表示させてくるChrome拡張機能

タイトルの通り。

f:id:Kuonchan:20180410161604p:plain

上記Chrome拡張機能をインストールしていると、各ページ内に以下タグを埋め込み、不正に広告を表示します。

イコライザー機能を追加する拡張機能ですが、イコライザーとしての機能を一通り備えており、普通に使えていたのでまさかマルウェアだとは思わなかった…。

f:id:Kuonchan:20180410161807p:plain

この拡張機能を無効化した状態では以下の状態です。

f:id:Kuonchan:20180410162042p:plain

また、eluxer.net下に配置されたスクリプトを読み込み、Chromeのコンソールを毎秒setIntervalで削除する機能を見せる場合もあります。

挙動

この拡張機能をインストールしている状態では、以下のような挙動を確認することができます。

  • 定期的に広告をポップアップする(お使いのWindowsの有効期限が切れました...などのよく見るヤツ)
  • コンソールを毎秒クリアする
  • AmazonをブラウズしているときにアソシエイトID付きURLを勝手に表示する(Amazonアソシエイトidはduomai1000136-22でした。中国系?)

他にも気づいていない挙動があるかもしれません。

記事内2枚目の画像で読み込まれているs3.amazonaws.com/...c1.jsに、広告を表示するためのスクリプトが記述されていることを確認しています。

対処

一度Chrome拡張をすべてオフにし、デベロッパーツールなどで上記挙動が見られないか確認しながら1つ1つ有効にしていくことで該当拡張機能を特定することができます。

僕が引っかかったのはイコライザ関連の拡張機能でしたが、その他同様の挙動を見せるツールが存在しているかもしれませんので、予防法として思いついたものを以下に書いておきます。

  • 開発者のWebサイトがちゃんとしているかを見る(Audio Equalizer - EQの開発者ページ(アーカイブ)はBootstrapテンプレートの文言を変えていないいかにもなものでした)
  • 全ての言語のレビューを表示するようにして、Adware判定を食らっていないかチェックする(以下画像参照)
  • 拡張機能の権限レベルのチェック

f:id:Kuonchan:20180410163554p:plain

*Chromeは複数デバイス間で設定を共有するためにGoogle IDごとに設定を保存しているため、一度ブラウザをアンインストールしてから入れ直したとしてもGoogle IDを紐づけて拡張機能を同期してしまえばこの症状は再発します。

備考

拡張機能の権限レベルがツールの機能の割に「アクセスしたウェブサイト上にある自分の全データの読み取りと変更」になっている場合には導入を逡巡すべきかもしれない。(このページを見れば分かるが、本当に何でもできてしまう)

確証はしていないがnetstats.spaceに何かのデータを送信している形跡も見受けられたのでChromeで最近ログインしたツールのパスワードを変更する必要があるかもしれない。

www.twinklestars.net

上記ブログ記事でも似たような拡張機能マルウェア化を伝えている。

今まで普通に使えていた拡張機能が突如としてマルウェア化することもあるので本当に油断ならないと思った。

拡張機能は従来のウイルス対策ツールでは対処ができない分タチが悪いというのは本当に同意できる部分で、かくいう自分もAvast!でフルスキャンをかけても何も見つからなかったので何事かと思ってしまった。

 気をつけましょう。