152本のChrome拡張機能による組織的なネットワークが、Google オーガニック検索の偽トラフィックを生成し、ユーザーデータを密かに収集していたことが明らかになりました。さらに、Chromeウェブストア上では「一切データを収集しない」と虚偽の申告をしていました。
この不正行為を発見したのはSocket社のThreat Research Teamです。調査によると、この組織的活動は38の独立したChromeウェブストア出版者アカウントと、tabplugins[.]com、yowgames[.]com、chromewallpaper[.]comという3つのブランドバックエンドにまたがっています。
「ライブ壁紙」新規タブ拡張機能を装ったこのファミリーは、無防備なユーザーから合計約105,000件のインストールを積み上げています。Chromeウェブストアに掲載されたすべての拡張機能は、ユーザーデータを収集・使用しないと虚偽の申告をしていました。
ところが、運営者が自らリンクしているプライバシーポリシーはこの申告と真っ向から矛盾しており、IPアドレス、ISP、クリック数、リファラーデータのログ取得を認め、Google AdSense、DoubleClick、および名称非公開のサードパーティ広告パートナーとの共有も明記されています。
最も技術的に高度な不正行為は、TabPluginsブランドのテンプレートを使用した54本の拡張機能に限定されています。これらのサービスワーカー(js/bg.js)は、インストールおよびアンインストールのイベント時に発火するハードコードされた2つのURLを定義しています。
インストール時には、拡張機能がutm_source=google&utm_medium=organicというパラメータ付きのtabplugins[.]comページを強制的に新しいタブで開きます。これにより、実際には拡張機能自身がタブを開いたにもかかわらず、運営者のアナリティクスには新規ユーザーがGoogleオーガニック検索経由で流入したかのように記録されます。
アンインストール時には、setUninstallURLがGoogleの署名付きリダイレクトトークン(vedおよびusg)を再現したgoogle.com/urlラッパーを発火させます。Socketの報告によれば、これによってアウトバウンドのpingがアナリティクス上では正規のGoogle検索結果をユーザーがクリックしたように見えるとのことです。
このメカニズムは、純粋にソフトウェアが生成したトラフィックを、あたかも自然に獲得したオーガニック需要のように偽装するものです。これはまさに、広告主や広告ネットワーク、アフィリエイトプログラムがプレミアム単価で対価を払うシグナルです。
インストール数10万件というスケールでは、この偽装されたアトリビューションが運営者自身のアナリティクスを汚染するだけでなく、提携している広告計測プラットフォームやGoogleの自社アトリビューションデータにまで悪影響を及ぼします。
このファミリーのすべての拡張機能には、同一のアンチフォレンジックルーティンが組み込まれています。サービスワーカーが起動するたびに、bg.jsはindexedDB.databases()を呼び出し、スコープ内のすべてのデータベースに対してdeleteDatabase()のループを実行します。
現在のビルドでは、拡張機能自体の状態はIndexedDBではなくlocalStorageに保存されているため、このワイプによって実際には何も削除されません。
しかし、分析された141本すべてのメンバーにそのままの形で含まれているという点で、これはこの組織的活動を示す最も信頼性の高いフィンガープリントです。壁紙アプリに正当な目的がまったくない、未申告かつ無差別なステートリセット機能の存在を意味しています。
この組織は、38の異なるChromeウェブストア出版者アカウントに同一のPUPテンプレートを展開しています。これは意図的なテイクダウン耐性戦術であり、単一アカウントが削除されても残りのネットワークは無傷のままです。
2つのインフラクラスターは別々のCloudflareアカウントとホスティングプロバイダーに分散しており、同一のテンプレートと収益化スキームを運用する少なくとも2つの連携チームの存在が示唆されています。
収益化の手法は広告の挿入ではなく、トラフィックの誘導です。tabplugins クラスターはavads[.]live経由でライブのPrebidヘッダービディングスタックを提供しており、Google Ad Manager、AppNexus/Xandr、PixFuture、SmileWantedと接続し、フルスクリーンのインタースティシャル広告枠も含まれています。
これらの拡張機能は、インストール時に広告収益化されたブランドページへの強制的かつ虚偽のアトリビューション付きアクセスを生み出すトラフィックポンプとして機能しています。
Socketは次のように指摘しています。Chromeウェブストアでのプライバシー開示の虚偽申告は、直接的な3方向の違反に該当します。ストアのダッシュボードではデータ収集なしと申告しながら、リンクされたプライバシーポリシーではロギングと広告パートナーへの共有を認めており、さらに実際のインストール・アンインストール時のpingが電話帰宅の挙動を裏付けているという構造です。Googleの開発者ポリシーは、このような不一致が出版者所有のすべての拡張機能の停止と関連アカウントの凍結につながり得ると明記しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ元の形式に戻して使用してください。
ユーザーはtabplugins[.]com、yowgames[.]com、またはchromewallpaper[.]com を出所とする新規タブ壁紙拡張機能を直ちに削除し、その後でデフォルトの検索エンジンと新規タブの設定を確認することをお勧めします。
セキュリティチームは、個々の拡張機能IDに頼るのではなく(大量生産されたバリアント間で容易にローテーションされるため)、このファミリー固有のフィンガープリントを用いた探索を実施してください。具体的には、Deleted IndexedDB database:というコンソール文字列、bg.js内のindexedDB.databases()による列挙・削除ループ、google.com/urlラッパーを指すsetUninstallURL、そしてutm_source=google&utm_medium=organic付きのタブを開くonInstalledハンドラーが検出の手がかりとなります。
翻訳元: https://cyberpress.org/chrome-extensions-manipulate-google-search/
