過去 3 年間で、2 億 8,000 万人を超える Chrome ユーザーが悪意のある拡張機能をダウンロードしました。

スタンフォード大学とCISPAヘルムホルツ情報セキュリティセンターは、2020年7月から2023年2月までに3億4600万人のユーザーが悪意のあるコードを含む拡張機能をインストールしたことを示す調査結果を発表しました。このうち、2 億 8,000 万個の Google Chrome 拡張機能にマルウェアが含まれていました。また、6,300 万個のポリシー違反の拡張機能と 300 万個の脆弱な拡張機能が含まれていました。当時、Chrome ストアでは約 125,000 個の拡張機能が利用可能でした。

専門家は、各拡張機能の *.json 宣言ファイルを解析してデータを収集しました。これらのファイルは、ストレージ、Cookie、URL や URL パターンなどのサーバーなどのアプリケーション プログラミング インターフェイス (API) アクセス要求に分割されます。

「拡張機能が必要以上に多くの権限を要求する傾向があるのは当然のことです。拡張機能が持つ権限が多ければ多いほど、攻撃対象領域は広がります」とチームは述べています。

それだけでなく、この報告書では、マルウェアを含んだ拡張機能が検出されて削除されるまでの平均寿命が最大 380 日であることが多いという憂慮すべき事実も指摘しています。 Forbesによれば、ブラウザ上に残っている時間が長くなればなるほど、データが盗まれるリスクが高まり、盗まれる量も増えるとのこと。

さらに研究チームは、2024年5月時点でGoogle Chromeにインストールされているすべての拡張機能の約1％にマルウェアが含まれていたとも述べています。検索大手の統計によると、Chrome ウェブストアでは 250,000 以上の拡張機能が提供されており、これは他のどのブラウザよりも多い。

Google はまた、ユーザーがマルウェアをダウンロードするリスクを軽減できる 4 つの方法も提案しています。この場合、拡張機能がインストールされる前に、拡張機能が収集する情報を確認する必要があります。使用されていない拡張機能をアンインストールします。拡張機能が動作できるウェブサイトを制限します。必要に応じて、ブラウジング中に拡張保護をオンにします。

Statcounter によれば、2024 年 5 月末までに、Google Chrome は依然として 32 億人を超えるユーザーを抱える主要なブラウザになります。デスクトップでは、このブラウザの市場シェアは約 64.87% で、次点の Microsoft Edge の 13.14% と Safari の 8.79% を大きく引き離しています。モバイルでは、Chrome が 65.94% を占め、Safari が 23.47% で 2 位、Samsung Internet が 4.43% となっています。