Google Chromeの最新フレームワークであるManifest V3(MV3)は、セキュリティ強化の一環として導入された。しかし、最新調査により、MV3は悪意のある拡張機能の動作を完全に防ぎきれていないことが明らかとなった。特に、個人や企業ユーザーのデータ盗難や不正アクセス、マルウェアのリスクに依然として脆弱な部分が存在している。

2023年6月には、悪質な拡張機能32件が手動で削除される事態が発生。こうした拡張機能は特別な権限を持たずに、ユーザーのブラウジング情報を収集し、ZoomやGoogle Meetの映像を盗むなどの高度な攻撃を行う。また、プライベートなGitHubリポジトリの乗っ取りやパスワードマネージャーを偽装したフィッシング攻撃も可能とされている。

Manifest V3の限界とChrome拡張機能に潜む新たなリスク

Manifest V3(MV3)は、Google Chrome拡張機能におけるセキュリティの強化を目的に導入された。しかし、SquareXの調査が示すように、悪意のある拡張機能の活動を完全に防ぐには至っていない。MV3は、拡張機能に必要な権限の明確化や許可制限を行い、利用者が不正なスクリプトを知らぬ間に受け入れる事態を防ぐ狙いがあるが、一部の拡張機能はこの制約を巧妙に回避することが可能である。

具体的には、特定の拡張機能が特別な権限を必要とせず、ユーザーのライブストリーミング映像を盗み見たり、プライベートなGitHubリポジトリへの不正アクセスを試みたりするケースが確認されている。こうした行動がChromeの新しいセキュリティモデルの網をかいくぐる形で行われている現状は、MV3の設計が依然として脆弱であることを示唆する。企業や個人において、拡張機能利用のセキュリティリスクは再検討が必要であろう。

SquareXの指摘するブラウザ拡張機能の新たな脅威と解決策

SquareXの創業者であるVivek Ramachandran氏は、Chromeの拡張機能が持つリスクについて深刻な懸念を示している。特に、従来のEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)といったセキュリティ対策では、悪質な拡張機能を適切に検知できない点を指摘し、ブラウザ拡張機能は企業の監視網にとって盲点になりうるとしている。

SquareXが提案するソリューションは、拡張機能の権限や更新履歴、ユーザー評価などの要素に基づき、リアルタイムで拡張機能のネットワークリクエストをブロックすることにある。また、同社は修正されたChromiumブラウザ上でChrome拡張機能の動的解析を行う実験を進め、潜在的な脅威を検出する独自の方法を模索している。これは、従来のセキュリティ手法では十分に対応できないブラウザ拡張機能の脅威に対して、より包括的な対策を提供し得るだろう。

今後の課題と企業が取るべきセキュリティ対策の再考

Manifest V3は、拡張機能のリスクを軽減するための一歩に過ぎない。SquareXによれば、現行の設計ではまだセキュリティ強化が不十分であるため、企業が独自にブラウザ拡張機能の利用ポリシーを再検討し、より厳格な管理体制を築くことが重要である。

企業がセキュリティリスクを最小限に抑えるためには、従業員のブラウザ環境や拡張機能の導入・管理に対する制限を強化するほか、悪意のある拡張機能を早期に検出できるシステムを導入する必要がある。SquareXが提案するようなポリシーに基づいた拡張機能の管理と動的解析は、有効な手段となりうるが、導入コストや運用の複雑さも考慮する必要がある。

Reinforz Insight
ニュースレター登録フォーム

最先端のビジネス情報をお届け
詳しくはこちら

プライバシーポリシーに同意のうえ