ハッカーに乗っ取られたのはグーグルクローム向けの翻訳プラグイン「Copyfish」だ。大人気のプラグインとは言い難いが、その3万人のユーザーに対して広告を表示すれば、比較的短期間で大量にクリック数を稼ぐことができる。
インターネット広告詐欺やクリックジャッキング(偽装ボタンをクリックさせて乗っ取りや不正に情報収集を行う攻撃)と聞いてもピンとこない人も多いかもしれないが、この手法は広く蔓延している。ネットのリテラシーが低い人々は、表示される広告の量が増えたりコンテンツが突然変わったりしても疑うことは少ない。
ウェブブラウザに悪質なコードを仕込むことは、詐欺を行う場合に極めて有効な手段だ。今回の詐欺も一般的なサイバー攻撃同様にフィッシングメールから始まった。Copyfishの開発者に送られてきたそのメールは、グーグルからの重要なメールのように見えた。早急に対応しなければプラグインがウェブストアから削除されるといった内容だった。
メール内のリンクをクリックすると一見グーグルのサポートのようなフィッシングページに飛ぶようになっており、Copyfish専用アカウントのパスワードの入力が求められた。開発者がここでパスワードを入力してしまった結果、それを手に入れたサイバー犯罪者側が大量の広告を表示するようにプログラムを変更し、不正なプラグインがウェブストアにアップロードされたのだ。
クロームはプラグインに更新があるとデフォルトで自動アップデートする設定になっており、多くのCopyfish利用者らが被害に遭った。
しかし、ニュースサイトHackerNewsのユーザーが迅速に行動したことにより、不正プラグインの導入から数時間後に攻撃は阻止され、現在はグーグルのサポートが問題に対処している。ブラウザのプラグインがハッカーに乗っ取られた事例は過去にもある。また、人気のプラグインを買収した新オーナーが、大量の広告を表示させるよう改変するといったケースも起きている。