「マルウェア化する事例はありふれている」Twitter（X）のマークを青い鳥に戻す話からブラウザ拡張の危険性についての話になる流れ

きたがわ @bukuta_3

Twitterマークを元に戻して復活する方法 【やり方】 1. GitHubで「GoodbyeX」検索 2. 拡張機能ファイルをDL 3. ZIPファイルを解答 4. 拡張機能をフォルダー読み込む 5. 拡張機能をON 6. Twitterを更新 イーロンのXロゴが気に入らない人はTwitterのままブラウザ利用出来ます。 pic.twitter.com/zOqJG1Nbgc

Yuta Okamoto @okapies

マジレスすると、こういうブラウザ拡張の権利を後から犯罪者が買ってマルウェア化する事例は極めてありふれているので、絶対に入れちゃいかんですよ。何とかしたいなら、こういう小手先ではなくイーロン・マスクを翻意させるか、代替プラットフォームを選択する権利を行使すべき。 twitter.com/bukuta_3/statu…

Yuta Okamoto @okapies

「ブラウザ拡張は一切使うな…ってコト！？」というコメントを複数頂いていますが、一般論としてはそうです。これはストア経由か、自分で zip を落としてきてサイドローディングするかは問いません。教えて頂いたやつですが、審査済み拡張ですらこういう事例があるので。 forest.watch.impress.co.jp/docs/news/1482…

Yuta Okamoto @okapies

「一般論」というのは、自分でメリットとリスクを天秤にかけて判断ができるなら良いでしょう、ということです。それには当然、入手元の身元が信頼できるか確かめる他に、自分でソースコードを確認できるようソフトウェア開発の知識が必要になります。つまり、本来は非常に敷居が高い。

Yuta Okamoto @okapies

もちろんこれはブラウザ拡張に限った話ではないのですが、昔の Windows フリーウェアと違って、今は「どのアプリがどれくらいダウンロードされているか」が可視化されているので、乗っ取り先を探している犯罪者が標的を絞りやすいので危険が増している、みたいなのはあるんじゃないかと思っています。

きたがわ @bukuta_3

@okapies ありがとうございます。ちなみに岡本さんがマルウェア化した事例や手順などを知っていれば教えて頂けますでしょうか。今後の参考にさせて頂きます。

Yuta Okamoto @okapies

@bukuta_3 具体的な名前は忘れましたが、昔からあるマウスジェスチャー系は、時間が経つとすぐにマルウェア入りになってましたね。それも一度や二度ではない。今は出所が明確なもの以外は拡張は一切使いません。ちょっとした使い勝手と引き換えにするにはリスクが高すぎるので。

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

「絶対に入れちゃいかん」とは穏やかでないなと思ったけれど、実際度々事例を観測してるので、警戒は致し方ないや、と思う20年選手の拡張機能開発者の自分。 同様の「知らん間に危険な物になる」問題は、npmやpipやrubygemsでも起こり得るんよな。 こちらはレビューが無い分より深刻かもしれない。 twitter.com/okapies/status…

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

ここで言及されてる事例は「ソースをダウンロードしてきて開発者モードでロードする」物なので、自動更新を通じて入れ替わるリスクは無いけど、開発者モードを知らないレベルの人に使わせるものではない、とは思う。 リプライツリーの中で書かれてるように、最初からマルウェアという危険もあるし。

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

今回のように大勢がパニックになってる場面では、「みんなー！ これを入れるんだー！」と呼びかけて火事場泥棒的に儲ける悪人の存在を想定しないといけない、という警戒心を持つ事が現実を生きる上では必要だけれど、善意ベースで回っていた時代からやってる人間としては世知辛く感じて切ない。

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

なお弊社では、「この拡張機能のこのバージョンは導入しても安全かどうか」を調べたり、ご要望に応じて相当する拡張機能を開発してご提供したり、ということを法人向けの有償サポートの範囲で行っております clear-code.com （ここで宣伝かよ）

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

そういや先日も、「拡張機能を使って効率改善を図った方がよさそうだなあ」と感じて拡張機能を紹介したのだけど、会社としては安全のためにそうホイホイとは入れられないようだった。 ちゃんとしてていいことなんだけど、悩ましいっすね。 twitter.com/piro_or/status…

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

記事の中でTSTに言及があって変な声出た。 それで思い出したけど、OSS開発参加のお手伝いをする（ tech.speee.jp/entry/learning… 参照）中で、詳細を知らないプロダクトのコード内を、メソッドの定義や呼び出し箇所を追ってあちこち行き来する過程で、結構皆さんChromeのタブを見失っていて、

2023-07-21 15:56:56

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

拙作拡張機能にも何度か「売ってくれ」とオファーが来ましたが、「オープンソースなので、ライセンスの範囲内でフォークして名前変えて商売する分にはご自由にどうぞ」と空気を読まず返しました （彼らが欲しいのは現在のユーザー数と信用であり、ソフトウェアの方ではない、と分かっててそう言った）

Piro🎉"ｼｽ管系女子"ｼﾘｰｽﾞ累計5万部突破!!🎉 @piro_or

個人開発のOSSの買収事例を以前見かけた（開発者として雇用された、という事例だったのでそれは悪い事ではない）けど、今思うと、そういうのを「人気を得てバイアウトするのが個人開発の成功モデル！」みたいに受け取る人もいるんだろうか？

Yuta Okamoto @okapies

まさにこういう話。 twitter.com/piro_or/status…

川名さん @ryo_kawana

@okapies @bukuta_3 「chrome プラグイン マルウェア」で検索すると過去の事例や手段の記事がたくさん出てくるのでご参考下さい。 Okamotoさんが仰る通りマルウェア化するケースが多く、プラグイン開発者がクラックされてマルウェア化する例もあります。 自動更新を止めたらそれはそれでリスクもあり…

ユーロ🇪🇺売り&💙💛支援！ @euroseller

@okapies まあ趣味でこういうContents Scriptでアイコンを変える拡張コードを入れても良いけど，あくまでもパッケージされていないコードのソースを理解した上での話。パッケージ化されていたら中でスパイウェアまがいのことが行われてもChromeのデベロッパーツールを使えない人はコードの検証はできない。

まめ @omame_kue

ブラウザ拡張一切入れるな、ということ？？ それはそれで極論なような twitter.com/okapies/status…

🤗 @Super_spanner

これはガチやで ストアにあるようなadblockもマルウェアに化けた事例とかもあるしね まぁそれを言うと普通のソフトウェアも何もインストール出来なくなるけどねw twitter.com/okapies/status…

山本優@ERP作る人 @hipsrinoky

ホントこれ。リスクを理解せず安易に拡張機能を入れるべきではない。特に権限についてよくわからないユーザーは。 twitter.com/okapies/status…

yasuyuki@🇺🇦Rust&WASM推し。 @yasuyukima

めちゃめちゃ危険。最初は大人しく振る舞って後で何するか、わかんないよねw twitter.com/okapies/status…

犬 @toshi_miura

なのよねー。chrome拡張、登録以前より厳しくなったとはいえど、時々乗っ取られたり、 売られてろくでもないものに転生してるよな。 オートアップデートは脆弱性になりうるでな。 （今回のようなバージョン塩漬けなら、その時に確認しておけば大丈夫だが） twitter.com/okapies/status…