【当てにならない星の数】 Chromeの拡張機能でマルウェアに感染した

Chrome の拡張機能は危ないものも含まれていますので、多数の人が使用している（使用していたもの）や、レビューの★の数の多いものであっても、実は危ない拡張機能があります。

これは、私の経験した、Chromeの拡張機能によるマルウェアの感染＆リカバリまでの記録です。

マルウェアに感染した理由

広告表示をさせないようにするアドブロック機能について調べていた時、ブロック漏れが生じ広告が表示されることがあることに気がついた。
そこで、他の広告ブロックのための拡張機能も入れ、色々と確認してみることにした。

すると、それらのアドブロックの拡張機能を追加した直後から、Google Chromeが変な挙動をするようになった

広告ページが新しいタブでいきなり開く

何かのソフトウェアのダウンロードを促すウインドウがいきなり現れる
（英語のウィンドウが現れる）

その原因を調べたら、どうやらマルウェアに感染していたようだった
しかし、インストール中のセキュリティソフト（マカフィ）では、マルウェアもスパイウェアも検出されなかった。

マルウェアの感染源も感染元も全くわからなかったので、その後さらに調べた。
すると、どうやら Adblock Super というChromeの拡張機能に原因があるようだった。

Adblock Super は★の数（評価されるほど星の数が多い）が多いので、レビューは見ずに安心していたのだが、直近のレビューを見ると、同種のマルウェアに感染したユーザーのレビューが多数書かれてあった。

とりあえず、Adblock Super は拡張機能から削除。
でも、セキュリティソフトでは何も検出しないため、マルウェアは消せなかった。
そのようなわけで、そのマルウェアの悪質な挙動はそのまま残り続けた。

その後、マルウェアを消すべく、Windows の悪意のあるソフトウェアの削除ツールをダウンロードして検索をかけてみたが、マルウェアは全く引っかからなかった。

そこで、直にマルウェアを削除すべく色々と検索したが、私が感染したマルウェアについては、日本語では削除方法がわからなかった。

そこで、英語のページも検索対象に含めてみたのだが、そこには、『普通には削除できない』『レジストリも汚れているので、レジストリも変更しなければならない』 と書かれてあった。

レジストリの変更は、OSの具合が悪くなったり動かなくなるリスクもあるので、諦めて、リカバリ（再インストール）することにした。

この他、確認はできなかったが、スパイウェアを仕込まれている可能性もあったので、PCのリカバリ後、全部の取得済みのアカウント（メールのパスワードも含む）のパスワードを変更した。
（不正侵入されたかどうかのチェックも行った）

リカバリーとパスワードの変更後、さらに調べてみたら、Adblock Super のレビュー以外にも、問題が発生した旨について書かれているページを発見した。

マルウェアの種類によっては、拡張機能を消すだけで消えるものもあるようだったが、私の感染したマルウェアはそれでは消すことができなかった。

ブラウザの拡張機能の危険性

ブラウザの中には、拡張機能を提供しているものがある。
でも、その拡張機能の中には、マルウェアを仕込まれてしまう危険なものも存在する。

今回私の感染した拡張機能は、多数の人が使用しており、レビューの★の数も多かった。
それなのに、マルウェアに感染してしまった。

これは、人気のある拡張機能を提供している個人や企業が、十分な人気と使用者とレビューが得られたあとで、悪意のあるプログラムを仕込んだり、そのプログラムの権利を悪意のある企業や個人に売ったり、悪意のあるプログラムを仕込んだ上で再投稿することで起こりやすい。

そうなれば、レビューの★の数は全く参考にはならない。
ただし、直近のレビューには、悪意のあるプログラムが仕込まれている件について書かれてあることもある。

しかし、これも悪意のあるプログラムを仕込まれた直後で、まだレビューに反映されていない場合だと見つけることはできない。

そのようなわけで、悪意のある拡張機能を避けたい場合には、拡張機能を避けたほうが無難なのではないかと思う。
（広告非表示をする場合は、広告非表示機能ではもっと使用者の多い Adblock Plusだけにしておくなど）

ちなみに、現在、2016年5月現在、Chromeの拡張機能から Adblock Super のダウンロードページはなくなっていた。
（通報件数が増えたことで、削除されたのかも？）

ただし、これで終わりとは思えないので（多分、まだ他にもたくさんある）、今後も注意が必要なのだと思う。

このカテゴリの記事