グーグルのユーザーは、Gmail、Chrome、その他のグーグルのサービスを狙うさまざまな攻撃にさらされることに慣れている。だが最新の攻撃警告はいずれも、攻撃者が悪意あるツールを使った点で共通している。偽の「グーグルアカウントセキュリティ診断」警告だけでも十分に悪質だったが、今度は、当初問題のなかったChromeの拡張機能『QuickLens - Search Screen with Google Lens』が最近侵害され、認証情報を盗む悪意あるツールに変えられたと報じられた(編注:Chrome ウェブストアからすでに削除済み)。この拡張機能は、『Google レンズ』で画面上の内容を検索するために使われていた。以下、知っておくべき点をまとめる。
ハッカーが正規のChrome拡張機能を攻撃ツールに変えた
グーグルのChromeは世界で最も人気のある、少なくとも最も利用されているウェブブラウザーであり、2026年にはユーザー数が40億人に迫ると推計する見方もある。攻撃者の標的になるのは驚きではない。そのためグーグルは、ユーザーを脅威から守るための防御策を多数用意している。それでも、ときに脅威がそれらの防御をすり抜けることがある。最近、悪意あるAIアシスタント拡張機能30件が見つかったとの報告が示すように、Chrome拡張機能に関する脅威ではその傾向が目立つ。今回の脅威も拡張機能の類だが、以前から信頼され、正規だったツールを悪用した点で特にたちが悪い。
Bleeping Computerによれば、『QuickLens - Search Screen with Google Lens』という拡張機能は、以前は「おすすめ」バッジ(注目拡張機能としての表示)を付けられていたこともあり、ユーザー数は7000人まで増えていた。機能としては、Chromeブラウザー内からGoogle レンズによる検索を実行できるというものだ。問題が表面化したのは、開発者が売却して所有者が変わってから2週間あまりが過ぎた2月17日だった。Bleeping Computerは、「悪意あるスクリプトを含む新バージョン5.8がリリースされ、ClickFix攻撃(偽のエラーメッセージでユーザーに悪意あるコマンドを実行させる手法)と、拡張機能の利用者に対する情報窃取機能が導入されました」と述べた。
Annex Securityの創業者ジョン・タックナーが、QuickLensをめぐるこのインシデントを最初に報告した。「これは拡張機能のサプライチェーン問題を端的に示しています」とタックナーは警告した。「『おすすめ』に選ばれ、審査され、機能していた拡張機能の持ち主(開発者)が変わり、新しい所有者が既存ユーザー全員に武器化した更新を配布するのです」。
