Google が悪質な広告入り Chrome 拡張機能をストアから削除しました。削除が確認されたのは、それほどユーザーも多くない " Add to Feedly " 、" Tweet This Page " など (どちらもFeedly や Twitter提供元とは無関係な第三者製)。

Chromeブラウザの特徴はブラウザ本体も拡張機能も含めてユーザーが意識しないうちに自動で最新の状態に更新されることですが、問題の拡張機能はこの自動更新で、ユーザーが訪れたサイト内のコンテンツを書き換えて複数の広告を挿入したり、リンクをアフィリエイトつきに書き換えるなど、ユーザーの意図に反する悪質な挙動で悪評を集めていました。

削除された拡張機能のひとつ Add to Feedly の開発者 Amit Angarwal 氏が自身のBlog で報告したところによると、Add to Feedly はもともと個人的な必要から1時間で書いたスクリプトで、他に使う人がいればと Chrome Web Store で公開していたもの。

しかしあるとき見知らぬ相手からメールで Add to Feedly を買い取りたいとの申し出があり、金額が「4桁」と高額だったことから、一体どうするのかと不審に思いつつ管理権限の移譲に同意したとのこと。その後ほどなくして Add to Feedly には勝手にサイトを書き換えて広告を挿入するコードが自動更新で追加され、Angarwal 氏は判断が誤っていたと既存のユーザーに謝罪しています。


ソフトウェアの権利者がいつの間にか変わって広告タスクバーやらマルウェアを同梱して騒ぎになるのは今に始まった話ではありません。しかし自動更新される拡張機能ではいつどのように更新されたのか確認しづらく、また悪質な広告が目についても、一体何が裏で悪さを働いているのか分かりにくいという点が問題です。

今回の騒ぎを受けて、多数のユーザーを抱える定番拡張機能の開発者たちも第三者から買い取りや提携の申し出があったことを報告しています。要するにマルウェアやスパム挿入の目的で安く権利を買えそうなアプリを物色する業者が、手軽で発見されにくいベクターとしてブラウザ拡張機能に目をつけているようです。


Google は Wall Street Journal などの問い合わせに対して、問題のプラグインをストアから削除したのは Chrome Web Store の規約違反が理由としています。具体的にどの項目に違反したのかは明言されていませんが、Google の Web Store 開発者向けポリシーでは、広告付きのアプリや拡張機能を提供する場合、どのアプリや拡張によって表示された広告なのか明確に示すこと、ユーザーにとって明瞭な挙動をすることや、ウェブページに元からある広告やコンテンツと干渉しないこと、サードパーティーのウェブページに元からある広告のふりをしないことなどを定めています。



また一方で、Google は今回の騒ぎより前の昨年12月に、Chrome 拡張機能がかつての「サードパーティー製ブラウザツールバー」のように肥大して Chrome 本来のシンプルさと軽快さを損なうことがないよう、拡張機能はシンプルでユーザーに分かりやすい単一の機能のみを備えること、ブラウザ上で常時占めて良い UI要素はひとつだけ(例:ボタン) といった新たな規約も導入していました。

ただしこちらは既存の善良な拡張機能にも機能ごとの分割や UI 変更などを要求することになるため、新規の拡張機能については直ちに、既存の拡張機能については2014年6月から適用されるとしています。

Google、悪質な広告を挿入するChrome 拡張をストアから削除。自動更新でいつの間にかマルウェア化

0 コメント