Google Chrome拡張機能のインラインインストール悪用防止策が強化 ～機械学習も活用

“インライン インストール”でインストールされる拡張機能の例

　米Googleは4日（現地時間）、公式ブログ“Chromium Blog”で、「Google Chrome」の“インライン インストール”を悪用した拡張機能からユーザーを保護する取り組みを強化していく方針を発表した。

　「Google Chrome」向けの拡張機能はセキュリティ上の理由で、原則として“Chrome ウェブストア”からインストールする必要がある。ただし、“インライン インストール”と呼ばれる仕組みを用いれば、“Chrome ウェブストア”で公開している拡張機能を自分が管理するWebサイトから直接インストールさせることも可能（2012年にリリースされた「Google Chrome 15」から提供）。Webサービスの公式サイトで専用の拡張機能を配布する場合などに利用されていることが多く、わざわざ“Chrome ウェブストア”へアクセスしなくても拡張機能を導入できるのはユーザーにとっても簡単で、わかりやすいというメリットがある。

　しかしその一方で、この仕組みは有害な拡張機能を「Google Chrome」へ送り込むための手段として悪用されることも少なくなかった。その対策として、同社は“インライン インストール”で誤解を招く、紛らわしいインストールフローを発見するとそれを無効化する措置を講じ、ユーザーからの苦情を65％削減することに成功したとのこと。その結果、このような問題のあるインストールフローを使う拡張機能は全体の3％以下になったが、これらの拡張機能は“Chrome ウェブストア”からインストールする拡張機能に比べて苦情が平均90％も多いという。

　同社は今後も“インライン インストール”の悪用を防止する取り組みを拡大する構えだが、その一環として、今後数週間以内に悪用を自動検出する仕組みをアップグレードして検出の速度と精度を高める。

　加えて、拡張機能レベルの対策だけでなく、機械学習技術を活用した保護も実施されるとのこと。具体的には“インライン インストール”のリクエストを毎回評価・学習し、ユーザーをだまそうとする試みを察知すると、“インライン インストール”を無効化する。“インライン インストール”が無効化されると、拡張機能のインストールはリダイレクトされ、“Chrome ウェブストア”から行わなければならなくなる。