グーグル、クロームユーザーをハッキングなどから保護

48184080_s.jpg  グーグルが、クローム拡張機能の開発者向けの規則を厳格化しようとしている。この取り組みにより、仮想通貨のハッキングやマイニング・マルウェアのリスクが減少する見込みだ。

 グーグルは1日、広範な権限を要求する拡張機能の取り扱い方法を変更する計画を発表した。同社は、クローム・ウェブストアを通じて拡張機能を配布している開発者向けの規則も厳格化しようとしている。

 グーグルはブログ記事で次のように述べた。

 「インストールした拡張機能が安全で、プライバシーを保ち、高性能であるとユーザーが期待できることは重要だ。ユーザーは、拡張機能の働きやデータアクセスの範囲について、常に完全な透明性を確保されるべきだ」

 同社の説明によると、クローム70(現在はベータ版)以降では、拡張機能が指定のサイトへアクセスすることを制限したり、拡張機能がサイトへアクセスする必要がある際には毎回許可を求めるように設定できるようになる。

 グーグルは、「強力な権限」を要求する拡張機能は、「追加のコンプライアンス・レビュー」の対象になると付け加えた。

 今回の投稿には「我々は、リモートでホストされたコードを使う拡張機能を入念に調べ、継続的に監視している」と記されている。

 同社はこの取り組みについて、「ホスト・パーミッションは多数の高性能で独創的な拡張機能を実現したが、様々な方法で意図的あるいは偶発的に誤用されてもいる...ユーザーの透明性を向上し、拡張機能がいつサイトのデータにアクセスできるかを制御することが、我々の目標だ」と説明した。

 グーグルはさらに、1日以降、クローム・ウェブストアでは隠蔽されたあるいは難読化されたコードを含む拡張機能が許可されなくなるとも述べた。難読化されたコードを含む既存の拡張機能には、新たな規則を遵守するために90日間の猶予が与えられるという。

 投稿によると、ウェブストアからブロックされた「悪意のあるポリシー違反の拡張機能」の7割以上が難読化されたコードを含んでいるという。さらに、難読化は「主にコードの機能を隠すために使われている」ため、グーグルによる拡張機能のレビューが大幅に難しくなるという。

 「前述したレビュー・プロセスの変更を踏まえると、もはやこれは許容できない」とグーグルは述べている。

 最後の安全対策として、19年には拡張機能の開発者の全アカウントで2段階認証による保護が必須となる。これはハッカーによりアカウントが乗っ取られるリスクを減らすためだ。

 過去には、被害者の機器にアクセスするため、クロームの拡張機能がサイバー犯罪者に利用されたことがある。

 例えば9月には、ハッカーが「メガ」という拡張機能の悪意のあるバージョンをウェブストアにアップロードした。ZDネットによると、その後数時間のうちにこの公式インストーラーを使用した人々のアカウントは不正アクセスを受けたという。これらの被害者にはマイイーサーウォレット、マイモネロ・クリプト・ウォレット、分散型交換所のIDEXの利用者が含まれる。

 グーグルは、ダウンロードした人々の機器を使って通知無しで仮想通貨をマイニングする拡張機能も取り締まらざるを得なくなっている。ウェブストアは4月に、意図的なものもそうでないものも含め、仮想通貨をマイニングする拡張機能をブロックした。

(イメージ写真提供:123RF)

https://www.coindesk.com/google-moves-to-protect-chrome-users-from-cryptojacking-and-hacks/

This story originally appeared on CoinDesk, the global leader in blockchain technology news and publisher of the Bitcoin Price Index.

ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
リップル詳細ページ
ICOレーティングについて