Chrome ウェブストアで“消せない”マルウェア「DROIDCLUB」が拡散、42万人に影響か

トレンドマイクロの公式ブログ

　「DROIDCLUB」と呼ばれるマルウェアが広がりを見せているという。トレンドマイクロ（株）は、7日に公開した公式ブログの記事で注意を喚起している（英文記事は1日）。

　「DROIDCLUB」は不正広告とソーシャルエンジニアリングを組み合わせた手法によって拡散する。ユーザーが不正な広告サーバーへアクセスすると、「Google Chrome」の拡張機能をインストールするように促すメッセージが現れる。これを受け入れてしまうと、不正な拡張機能が「Google Chrome」に侵入し、C&Cサーバーの指示でさまざまな活動を行うようになる。同社によると、閲覧ページへ勝手に広告を挿入したり、「Coinhive」を注入して暗号通貨のマイニングを行うケースが確認されているという。

　この拡張機能のもう1つの特徴は、アンインストールや不正の報告が困難になるように設計されている点だ。「Google Chrome」の拡張機能管理ページで「DROIDCLUB」をアンインストールしようとすると偽の管理ページへリダイレクトしてアンインストールが完了したかのように装うほか、“Chrome ウェブストア”のレポートページへアクセスすると拡張機能の詳細ページへリダイレクトして報告を妨げる。

　このような不正な拡張機能は“Chrome ウェブストア”ですでに89個確認されており、最大で423,992人のユーザーが影響を受けたと推定されている。同社は、スクリプトブロッカーなどのツールを導入して不正広告の表示を減らす、偽のメッセージにユーザーが気付けるよう意識向上トレーニングを実施する、システム管理者がポリシーを設定してユーザーが拡張機能をインストールできなくするといった対策を推奨している。