Amazon上のスポンサー広告を非表示にする方法として宣伝されていたChromeブラウザ拡張機能が、バックグラウンドでひそかにアフィリエイトリンクを乗っ取り、ユーザーに知られないまま開発者にコミッションが流れるようリダイレクトしていたことが判明しました。
Socketの研究者は、この拡張機能Amazon Ads Blockerが、Amazonの商品リンクごとに既存のクリエイターのアフィリエイトタグを自分の識別子に置き換えていることを突き止めました。
研究者は分析の中で、「この拡張機能は…開発者のアフィリエイトタグ(10xprofit-20)をすべてのAmazon商品リンクに自動的に挿入し、コンテンツクリエイターの既存のアフィリエイトコードを置き換える」と述べています。
アフィリエイト乗っ取りスキームの内幕
この事例は、ブラウザ拡張機能が正当な生産性ツールを装いながら、Webコンテンツへの特権的なアクセスを利用してひそかに悪用し得ることを示しています。
Amazon Ads Blockerは表向きは宣伝どおりに機能しているように見えますが、その隠れた挙動は、ユーザーの可視性や制御の及ばないところで動作する意図的な収益化スキームを明らかにしています。
Socketの調査により、Amazon Ads Blockerは孤立した例ではなく、Amazon、AliExpress、Best Buy、Shopify、Sheinなど主要なECプラットフォームを標的とする少なくとも29個の拡張機能からなる連携ネットワークの一部であることが確認されました。
共有インフラ、一貫したアフィリエイト識別子、複数拡張機能にわたる繰り返しのポリシー違反は、単発のコンプライアンス上のミスではなく、意図的なアフィリエイト乗っ取りである可能性を強く示唆しています。
技術的な観点から見ると、この拡張機能は2つの異なるレイヤーで動作します。
1つ目は可視の機能です。CSSセレクタを用いてAmazonページ上のスポンサー商品リスティングを識別し、非表示にする基本的な広告ブロック機構です。
既知の広告関連要素を狙うことで、拡張機能はスポンサーコンテンツの削除に成功し、買い物体験を改善するためだけに存在しているという印象を強めます。
2つ目のレイヤーはバックグラウンドで静かに実行されます。ページが読み込まれると、コンテンツスクリプトが/dp/や/gp/product/といった一般的なURLパターンに一致するAmazonの商品リンクをすべてスキャンします。
すでにアフィリエイトタグが存在する場合、スクリプトはそれを開発者のタグ10xprofit-20に置き換えます。タグが存在しない場合は、自動的に追加します。
永続性を確保するため、MutationObserverがページの変更を継続的に監視し、無限スクロールや動的なページ更新で新しい商品が読み込まれるたびにアフィリエイトタグを再適用します。
この挙動はユーザーにとって完全に不透明です。拡張機能のインターフェースは広告ブロックの制御のみを提供しており、アフィリエイトリンクの改変に関する設定、開示、またはプロンプトは一切ありません。
研究者は、この挿入がページ読み込み時に自動的に行われ、ユーザー操作を必要とせず、無効化できないことを確認しました。
この透明性と同意の欠如は、アフィリエイトの自動挿入や既存アフィリエイトコードの置換を禁止するChrome Web Storeポリシーに明確に違反しています。
ブラウザ拡張機能のリスクを低減する
ブラウザ拡張機能は、Webコンテンツへの広範なアクセス権を持つにもかかわらず、従来のソフトウェアほど精査されないことが多く、ユーザーとセキュリティチーム双方にとって一般的な盲点のままです。
このキャンペーンが示すように、一見無害な拡張機能でも、ユーザー、クリエイター、組織のいずれにも影響を及ぼす収益化の悪用を隠し持つ可能性があります。
このリスクへの対処には単なる削除以上のものが必要で、より厳格な制御、拡張機能の挙動に対する可視性の向上、明確な対応プロセスが求められます。
- 悪意のある拡張機能を直ちにアンインストールし、宣伝されている機能と実際の挙動に不一致がないか、インストール済みのブラウザ拡張機能をすべて見直してください。
- 管理環境ではブラウザ拡張機能の許可リスト(allowlisting)を強制し、審査済みで承認された開発者のみにインストールを制限してください。
- 監視:URLを変更する拡張機能、アフィリエイトパラメータを挿入する拡張機能、明示的なユーザー操作なしにリンクを自動的に書き換える拡張機能を監視してください。
- 拡張機能の権限と更新履歴を確認し、過剰なドメインアクセスや、ポリシー施行の更新と一致する変更がないかを調べてください。
- 教育:ユーザー、クリエイター、社内チームに対し、アフィリエイト乗っ取りのパターン、欺瞞的な開示、収益化を隠す二目的拡張機能について教育してください。
- アフィリエイトネットワークおよびプラットフォーム提供者と連携し、無断のタグ置換やコミッションの迂回行為を報告してください。
- テスト インシデント対応計画:ブラウザベースの悪用シナリオに備え、拡張機能の調査、削除、証拠収集、プラットフォームへの報告ワークフローを含めてテストしてください。
これらの対策を総合的に実施することで、拡張機能ベースの悪用による影響を抑え、問題発生時の被害範囲(blast radius)を縮小し、同様のブラウザレベルの脅威に対する長期的なレジリエンスを強化できます。
このインシデントは、挙動が綿密に検証されない場合、特に疑わしい活動が正当な機能によって隠されているときに、ブラウザ拡張機能がリスクを持ち込み得ることを示しています。
そのリスクを低減するには、拡張機能を管理対象ソフトウェアとして扱い、エンドポイントやクラウドサービスに用いられるものと同様の一貫したレビュー、監視、対応プロセスを整備することが重要です。
インストール制御を強化し、拡張機能の挙動に対する可視性を高め、明確な対応ワークフローを維持することで、組織は悪用の影響を限定し、ブラウザレベルの収益化手法に対するレジリエンスを強化できます。
これらの同じ原則は、ゼロトラスト・ソリューションとも密接に一致しており、アクセスや挙動をデフォルトで安全だと仮定するのではなく、継続的に検証します。
翻訳元: https://www.esecurityplanet.com/threats/chrome-ad-blocker-caught-hijacking-amazon-affiliate-links/
