Chrome拡張でまたおかしな更新。今回は暗号通貨マイニング

「Chrome拡張、10万ユーザに暗号通貨マイニングをプッシュ」

Chrome拡張「Archive Poster」（Tumbler用ツール）が、12月はじめの更新でCoinHive暗号通貨マイニングスクリプトを実行するようになりました。この挙動を示すのはバージョン4.4.3.994～4.4.3.998です。

この手の話は、しばしば拡張がオリジナルの作者から他人に譲渡（売却）されて、その先で改変されるというパターンを辿りますが、今回はそのような話はなさそうです。意図的なのか間違いなのかなど、一切不明です。

この件は多数のレビューに反映され、フォーラムにも投稿があったものの、google側は「拡張の開発者に連絡してください」と木で鼻をくくったような回答（ちなみにこの拡張は連絡先がなかったそうです）。

現在（12月30日）、同名の拡張は4.4.4.0となっており、タイトルには「[SAFE]」と入り、レビューは全部消えているようです。発行者名が違うこと、利用者数が100と非常に少ないことから、新規にアップされた同名のもの、と考えられます。

なお、次のghacks.netの記事によれば、従来の拡張は削除された模様。

「Google、暗号通貨マイニングをする拡張"Archive Poster"をひっこめる」

さらに次のpcmag.comの記事によれば、この拡張を出した会社から「乗っ取られた」というコメントがあったそうです。

「Chrome拡張、密かに暗号通貨マイニングをするようハックされる」

Essence LabsはPCMagへのメールで次のように述べました。「古くからのチームメンバーの1人で、本拡張の更新の責任者だった者のGoogleアカウントが、どういうわけか他のGoogleアカウントに乗っ取られました」

Chrome拡張は更新を止める手段は存在しないようです（Firefoxは個別に設定可能）。また、仮に更新を止める手段があったとしても、脆弱性対応の更新はすべきですから、どちらにせよ利用者が適切に判断できなければならない、ということになってしまいます。つまり、どちらにせよかなり難しい問題です。

1つの答えは、自分の入れた拡張に関するレビュースコアを日単位程度でチェックし、急激な変化があった場合には利用者に通知する、というものでしょうか（※こういうものがあるかは知らずに書いてます）。あとは、入れる拡張の数をなるだけ少なくして、管理しやすくすることも必要でしょう。