ニュース

開発者アカウントを乗っ取られても偽拡張機能は公開不能 ~「Chrome ウェブストア」に新機能

パッケージ検証の鍵を事前に登録しておく追加のセキュリティレイヤーを導入

パッケージ検証の鍵を事前に登録しておく追加のセキュリティレイヤーを「Chrome ウェブストア」に導入

 米Googleは5月7日(現地時間)、「Chrome ウェブストア」へ「Google Chrome」用の拡張機能をアップロードする際、信頼できる秘密鍵による署名を必須とする追加の検証機能を導入したと発表した。

 「Chrome ウェブストア」に登録されている拡張機能は、すべてGoogleによって署名されている。拡張機能がダウンロードされる過程で改竄などがないことを保証するためだ。

 しかし、この鍵は「Chrome ウェブストア」で管理されており、新しい拡張機能パッケージがアップロードされると自動的に署名が行われる。つまり、開発者アカウントを乗っ取られてしまった場合、第三者が勝手に偽のパッケージをアップロードして署名、公開できてしまう。

 そこで、同日よりアップロードするパッケージの検証に利用するRSA公開鍵を「Chrome ウェブストア」に登録する機能が提供される。この公開鍵で署名されていないアップロードは拒否されるため、第三者が勝手に偽のパッケージをアップロードすることはできない。つまり、万が一開発者アカウントが乗っ取られてしまった場合のリスクを軽減できる。

 アップロードされたパッケージがこの検証に合格すると、既存の秘密鍵で自動的に再パッケージ化されたうえで拡張機能が公開される。そのため、拡張機能のIDは変わらない。また、この機能をオプトイン(有効化)しない場合、アップロードは引き続きGoogleによって署名される。