堺風の頭部

徘徊、カメラ、PC、その他。

マルウェアにやられてたらしい件(不正なChrome機能拡張を使ってた)

pc.watch.impress.co.jp

 時々出てくる、スマホやブラウザのストアで大規模に見つかるマルウェア
 ここのリストにある、Upload photo to Instagramを、Chromeにインストールして使用していた。

 一時期頻繁にインスタに写真をアップしてたんだけど、PCからはアップロードできない。ChromeのDevToolを使ってモバイル版に切り替えればできるんだけど、一時期それができなく行かなくなったことがあり、それで代わりにブラウザ拡張でUpload photo to Instagramを追加した。

 野良拡張じゃなくChrome Webストアからだし、ユーザーも万単位(現在で40000+)とそれなりに使われてるし、まあ大丈夫かと思ったのだった。

 

何をされていたか(気付いた範囲で)

 ここしばらくの間、少なくともUpload photo to Instagramを追加した後から、微妙ながら不自然な動作が見られていた。

 Chromeの検索結果ページなどで、稀に、リンク先が不自然なアドレスに書き換えられていて、一度違うアドレスにアクセスし、そこからリダイレクトされて目的のページを表示、という動作をしていた。
 それに気付いたのも、リダイレクトに失敗して不自然なエラーページで止まったことがあったから。

 気付いた時によく確認してみると、一度go.lnkam.comというサーバーにアクセス、リダイレクトされて別のアドレスに飛ぶ。
 二度目のアドレスには、jdoqocy.comやaffiliates.digitalriver.comなどが見つかった。どちらもおそらく、クリックされることでアフィリエイト報酬が支払われるものっぽい。jdoqocyは広告屋らしい、digitalriverは日本語情報がASUSのサイト上で見つかるので、ASUSが通販サイトで利用してる関連サービスだろうか。ここ自体は悪質なものではないっぽい。
 その後、本来のリンク先にリダイレクトされるんだけど、リンク先によってはここで失敗することがある。それで気付く。でも普通に表示されちゃうこともある。

 

 私の場合は、ちょっと頻度が低すぎて、気付いたり確認するのに時間がかかった。
 「なんかおかしい」と気付いてから、気にしながら使っていても、せいぜい週に一回くらいしか気づけないような低頻度。
 PC WATCHの記事によれば、私が気付いてるっぽい確認行動をしてたら動作を止める、なんてことをしてたのかもしれない。

 

 ただ、PC WATCHの記事では何やらいろいろな情報が漏れていたというのだけど、これの根拠はよくわからない。OSバージョンとかは普通に見られる情報な気がする。
 誕生日とかメールアドレスってのはよくわからないが、なんだろう?

 

https://go.lnkam.com/link/r?u=https%3A%2F%2Fwww.trendmicro.com%2Fja_jp%2FforHome%2Fproducts%2Fonlinescan.html&campaign_id=b7YM**************m3wz&source=hl78******jdtn

 これが、Googleの検索結果からトレンドマイクロのオンラインスキャンに飛ぼうとしたときに書き換えられていたアドレス。
 URLにキャンペーンID・ソースというのがあって、これで検索するとSPAMが書き込んだWikiやblogコメント欄がヒットする。踏んだら、少なくとも収益は発生するものらしい。(アクセスされたら嫌なので、頭と末尾の4文字以外は伏せた)
 上で「アフィリエイトサイト自体は悪質なものではない」と書いてはいるけど、こんな無差別なアクセスにも平気で報酬を出してるなら、その点は悪質ではあるな。

 go.lnkam.comは、おそらくそういう杜撰なアフィリエイトをやってるところを適当に振り分けるためのものだと思われる。go.lnkam.comの同じアドレスにアクセスしても、アフィリエイトサイトは入れ替わった。

 

 また、私の場合は、フィッシングサイトなどへリダイレクトされたことはなかった。

 

Upload photo to Instagramについて

 これ自体は、正常に期待通りに動作する。
 Chrome拡張機能ボタンが追加され、クリックするとInstagramにアクセス、そして新規投稿ボタンが追加されている。クリックすると写真アップロード・コメント追加を行って公開できる。

 

f:id:mubouan:20201218101305p:plain

機能拡張の設定ページより

 しかし、上に書いた機能のために、どういうわけか「サイトへのアクセス」が「すべてのサイト」になっている。
 他の拡張機能を見ても、この項目は、その機能のためには必要だろうと思えるところだけだった。

 インストール時からそうだったか、途中で変わったかは記憶がないな……。

 

12月18日午前10時、Googleが対処

f:id:mubouan:20201218101719p:plain

 この記事を書いてる最中に、突然「マルウェアが含まれているから無効にした」と警告が表示され(言われる前に無効にしていたけど、関係なく出た)、上のようにブロックされ、ストアからも削除された。

 

教訓

 権限と許可範囲はちゃんと確認、不自然なものだったら使わない

 

 おそらく、単にアフィリエイトリンクを踏ませる以上のことはされてないと思う。
 一応ローカルも、トレンドマイクロのオンラインスキャンと、Windows 10の標準機能とでスキャンし、特に何も見つからず。

 特にフィッシングサイトなどに飛ばされた記憶もなく、ID・パスワードを送信しちゃったりもしていないと思うので、おそらく大丈夫とは思うんだけど……。
 今のところ、不正利用などは見つかってない。一応個人事業主でもあるから、カードの利用履歴とかはちょくちょく見てるし、項目・金額ともにおかしいところもない。SNSやオンラインサービスのログイン通知が来たりもしていない。

 一応、私のメールアドレスやSNSから、不自然なメッセージなどが届いたら教えて下さい。