どもどもにゃんたくです(「・ω・)「ガオー
いきなりですが、最近こんな報道が増えていますよね。
今回はそんな悪意のある(まぁ見方によっては、ですけど)Chromeの拡張機能(エクステンション)を見つけたって話をします。
まずは見つけたChromeの拡張機能(エクステンション)情報を載せておきます。
なにかの参考にしてみて下さい。
見つけたChromeの拡張機能(エクステンション)情報
①Google URL Shortener
hxxps://chrome.google.com/webstore/detail/google-url-shortener/bmnjjjinhhbgfapfngmpekkbhefjfblj
※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています
▼内容
現在公開されているVersion1.7に含まれる「bg.min.js」のコード内にマイニングコードが記載されている。
※Version1.6以前の「bg.min.js」にはマイニングコード無し
▼Version1.7に含まれる「bg.min.js」のVirustotal結果
Hash値(SHA-256):f2be9a3a279d5d11ee3a50a084c4b4c9a5bddf2ec9a293c5a594c322eb09a056
File size:105.63 KB
検知率:16 / 57
▼Chrome Extensions Archive(Google URL Shortener)
Google URL Shortener - Chrome Extensions Archive
※Version1.7のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)
※Chrome Extensions Archiveとは、Chromeの拡張機能(エクステンション)のソースコードがアーカイブされているサイト
②クイックダウンロード
hxxps://chrome.google.com/webstore/detail/quick-downloads/hakhgnibnkpibkhlccbkhdgikiockaib?hl=ja
※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています
▼内容
現在公開されているVersion1.14の「bg.min.js」にはマイニングするコードの記載無し
※Version1.11の「bg.min.js」にはマイニングコードあり
▼Version1.11に含まれる「bg.min.js」のVirustotal結果
Hash値(SHA-256):a4fdd07528dad620c50d267c6ca5187b57f2bccd04aeb56d25e324a9f7887bd8
File size 105.16 KB
検知率:17 / 58
▼Chrome Extensions Archive(Quick Downloads)
Quick Downloads - Chrome Extensions Archive
※Version1.11のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)
※Chrome Extensions Archiveとは、Chromeの拡張機能(エクステンション)のソースコードがアーカイブされているサイト
見つけた経緯とかその他もろもろ
冒頭に書いた最近Chromeの拡張機能(エクステンション)を装った悪性のエクステンションが増えてるのかー、そんなんあるのかーくらいしか思ってなかったんですよね。
そんなある日のこと、セキュリティ情報を収集していて、リンク集みたいのを作っていた時に、「あーリンク先のURLを短縮したいなぁ。そんなツールないかなぁ」とググってたんですよ。
そしたらGoogleが提供している短縮URLを作成するためのツール『Google URL Shortener』というのを見つけてラッキー!と思っていたんです。
この時ふと、検索結果一覧の上位に『Google URL Shortener』のChrome拡張機能がChrome ウェブストアで配信されていることを見つけたんです。(上記画像の上から4つ目)
…もしや(; ・`ω・´)
そしたらインストールページのユーザーコメント欄に明らかアカンよ的なコメントがあることを確認したんですよね↓
ちょうど2つ目のコメントにVirustotalのURLが貼ってあったので実際にアクセスしてみたところ、「bg.min.js」というjsファイルのレピュテーションが悪いという結果が書いてありました。
そこで実際にChrome Extensions Archiveという、Chromeの拡張機能(エクステンション)のソースコードがアーカイブされているサイトから、このGoogle URL Shortenerのページを探して、かつ「bg.min.js」というファイルの中身を見てみたんです。
ソースコードとかほとんど読めない(プログラミングもほぼできない)にゃんたくさん。
あまりにもコードの行が多くて読むの諦めていた時に、コードの下の方にどこかで見たことのある文字列を見つけました。
そう、「Coinhive」。
この記事で読んだなぁということをふと思い出したんですよね。
ちなみにCoinhiveとは、『サイトの運営者が、閲覧者に仮想通貨を採掘させ、その収益を受け取るサービスだ。専用のJavaScriptコードをサイトに埋め込むと、そのサイトを閲覧した人のPCのCPUパワーを使い、仮想通貨「Monero」を採掘。』
(参照:http://www.itmedia.co.jp/news/articles/1710/11/news084.html)
というわけで、実際に「Coinhive」をマイニングするためのコードを調べてみました。
どうやら以下のコードをサイトに埋め込む必要があるようです。
<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.User('<site-key>', 'john-doe');
miner.start();
</script>
※色の付いた箇所は改変出来る場所のようです
で、実際に「bg.min.js」のコード内を見てみると…
※ちょっと画像見にくくてすみません(; ・`ω・´)
はい、マイニングするためのコードが存在しましたね。
&なんだか「気味の悪い」プロキシのURLなんかも書いてありました。
この時点で怪しさMAXだと感じたので、この『Google URL Shortener』というChromeの拡張機能の作成者が他にもChromeの拡張機能を作成していないかを調べてみたところ、『Quick Downloads』という拡張機能も作成しており、『Google URL Shortener』の「bg.min.js」の中身を調べた方法と同じように『Quick Downloads』の「bg.min.js」の中身をの調べたら、ほぼ同じコードが記載されたVersionも見つけることができました。
さてさてさて、今回見つけたような仮想通貨をマイニングするようなモノは一体マルウェアと言えるのだろうか、という話ですが。。。。答えは正直グレーだと僕は思っています。
ただ、勝手に自分のCPUのリソースを使われるのは釈然としないですよね。
どちらかというと、不審なChrome拡張機能がChrome ウェブストア上でまだまだインストールできる可能性がある、ということの方を気にしなくてはいけないではと思います。
ただ、なかなかChrome ウェブストア上で不審な拡張機能を見つけるということ自体難しい気もします。
ですので、拡張機能を利用する際は、その機能をインストールしたユーザーのコメントを見てみたり、その拡張機能についてインターネット検索してみて、不審ではないか調べてみることをオススメします。
また、仕事などでChromeを使っている方は、会社等のポリシーなどでChromeの拡張機能について定められていると思いますので、確認してみて下さい。
今回もここまで読んでいただきありがとうございました。
何かの参考にしていただけら幸いです。
今回このブログを書くにあたり参考にしたページもまとめておきます。
参考情報
http://news.mynavi.jp/news/2017/10/17/066/
https://japan.cnet.com/article/35105920/
http://www.itmedia.co.jp/news/articles/1710/11/news084.html
https://japan.cnet.com/article/35108804/
http://tetsuyaimagawa.hatenablog.com/entry/2017/09/21/coinhive
http://nmi.jp/2017-10-10-About-coinhive
https://www.nasnem.xyz/entry/coinhive-mining-apologize
http://gigazine.net/news/20170920-pirate-bay-mining/
https://bitcoin-matome.info/altcoin/whats-monero/
https://bitflyer.jp/ja/bitcoinmining
ではでは~。
∠ \
| \
∠ニニニ>
( ・∀・)
/~~ハヽつ┓_ /
/ OO|(・∀・) ―
`~uu′ ̄ ̄ \