◆代替候補のお知らせ(2021/02/26 追記)
よさそうな奴、見つけました。
◆はじめに
Chrome向け拡張機能「The Great Suspender」がマルウェア化したとの報道が一部で出ています。
拡張機能の管理者(所有者)が変更になり、それにともなう更新(バージョン7.1.8)がなされた際、バージョンアップ後の拡張機能の詳細が公開されなかったことから、調査が行われた結果判明したようです。
この指摘を裏付けるように、現在(2021年2月5日)はchromeウェブストアで拡張機能をダウンロードすることができず、すでにインストールされているchromeには拡張機能管理画面で「この拡張機能には不正なソフトウェアが含まれています。」と表示がされるようになっています。
また、拡張機能はchrome側でオフにされサスペンドされていたタブが強制的に閉じられたことで、気がつかれた方もいるかと思います。
*この閉じられたタブを元に戻す方法が一部で紹介されているようです。自己責任で。
問題が生じているのは、拡張機能の所有者が変化したバージョン7.1.8からということですが、
正確な続報までの間は、手法に関わらず当該拡張昨日の利用を一時中止、できれば一旦削除を推奨します。
◆発生しているリスク
下記のリスクが想定されます。また、記載外の事項についてノーリスクであるというわけではありません。
・閲覧者が予想しない動作をする(外部JAVA呼び出し)
・閲覧者の接続情報など固有情報の流出
◆推奨される対応
バージョン7.1.8の即時削除、以前のバージョンのまま利用している方も自動更新される前に削除。
Githubから旧バージョンをインストールする方法が提示されていますが、現在は旧バージョンの拡張機能を管理(不具合の是正、セキュリティ対策の向上)する人間がいない状況です。
仮に今後旧バージョンに対してセキュリティリスク(セキュリティホールなどの発見)がされた場合、対策がされず、対策されたとしてもgithub経由のインストールの場合は自動で対策バージョンに更新されません。
日常的な情報収集とセキュリティに関する意識が必要不可欠です。
今後のセキュリティリスク増大を鑑みて、一端の削除を強く推奨します。
◆代替の対応
いずれも現時点でセキュリティの観点から安全な手法というわけではありません。
・別のサスペンドソフトを使用する(各ソフトの安全性はご自身で確認ください)
・Github経由で旧バージョンソフトをインストールする
◆おわりに
管理人は愛用していた拡張機能でした。非常にショックです。代替方法は探していきますので、機会があればご案内します。
コメント