【注意喚起】Chromeの拡張機能「Text Link Plus」がマルウェア化しました

リダイレクトのサイト

【注意】MacOS High Sierra+最新バージョンのChromeで、ページ内リンクの無効化(別のページへのリンクの書き換え)と不正なリダイレクトが現在確認できています。恐らくChromeに同じ拡張機能を入れているWindows環境でも同様かと思います。Google ChromeまたはVivaldiのアドオンに「Text Link Plus」を入れている場合は削除することをおすすめします。

 

Google Chromeの拡張機能「Text Link Plus」は、h抜きのアドレス(2ちゃんねるによくある、あえてURLの最初のhを抜いてttp://から始まる文字列)を補完して自動的にハイパーリンク化したりする便利なアドオンでしたが、2017年12月7日のアップデート(Ver. 1.3.0)以降、piet2eix3l.c o m(フィッシングサイトの可能性が高いのでリンク化していません)というサイトへの不正なリダイレクト(勝手にページが開く)、普通のサイトの中にあるハイパーリンクが全て上記サイトへのリンクへ書き換わるなど、非常に悪質なマルウェア様の挙動を示すようになりました。

もともと問題点を指摘されていた

私は今まで知らずにいたのですが、もともとText Link Plusは意図的に、Amazonへのリンクを、拡張機能製作者のアフィリエイトIDへ書き換えするなどの不正行為を行っていた拡張機能のようです。

アップデート前までは、目に見えるような怪しい挙動を見せることはありませんでした。私も普通に気づかずに便利なものとして使っていましたからね…

しかし、7日のアップデートで凶悪化したようで、これを入れていると怪しいサイトへしばしばリダイレクトするうえ、開いているページのリンクが全てフィッシングサイトへのアドレスに変更されてしまい、まともにブラウジングができなくなります。特にAmazon.co.jpを開いているときなんかは酷いもので、Amazonを開いた瞬間にリダイレクトをしリンクが機能しなくなる始末で、今日12月8日の18時から開始するサイバーマンデーセールの最中に起こっていたら、間違いなく憤死していたことでしょう…

当然ですが、「Text Link Plus」の無効化をオススメします。

 

原因の特定に苦戦

私の場合、今日の昼頃からブラウジングの調子がおかしくなり、何か変なマルウェアに感染したかな、と考えたのですが、午前中は忙しくて全くパソコンに触っていませんでしたし、これといって思い当たるフシがありませんでした。

システムのマルウェア感染をチェックするため、Malwarebytes Anti-Malwareなどのマルウェア対策ソフトを走らせましたが何も引っかかりませんし、ウィルス対策ソフトのフルスキャンにも引っかからないので、これはGoogle Chrome側の問題だな、と考え、拡張機能を一つずつ有効化・無効化しながら切り分けチェックをしたところ、Text Link Plusを使っているときのみ同様の現象が起こるため、ここが原因と判断しました。

しかし今回身をもって体験しましたが、拡張機能のマルウェア化のなにが厄介かって、「明らかに何かに感染した症状が出るのに、パソコン側のウィルス・スパイウェア対策ソフトでは検出できない」ことですよね。原因の特定と切り分けが、極端に難しくなります。

Text Link Plusの更新後

そして拡張機能の更新が12月7日、今まで無かったのに取って付けたようなON/OFFボタンがあることに気がついたのも昼頃でした。

 

フィッシングサイトには飛ばず

Web Filterのブロック

f:id:holy-jolly:20171208151559j:plain

幸いにも、リダイレクトした場合でも、まずuBlock Originがサイトへのリダイレクトをブロックし、ネットワークのファイアウォールでも自動的にサイトへのアクセスがブロックされたため、直接的な被害はありませんでした。

また、試しにファイアウォールを停止してシークレットブラウザから上のアドレスにもアクセスしてみましたが、2個のサイト間でリダイレクトを繰り返し続け、最終的にはChrome側からエラーと認識されて止まりました。

 

Googleは拡張機能の審査基準の見直しを

TextLinkPlusのレビュー

Chromeウェブストアでは、すでに原因を特定したユーザーから幾つかの情報が上がっています。

しかし、野良アドオン(インターネットに落ちている安全性の不確かな拡張機能)を自己責任でインストールしたならまだしも、Chromeウェブストアで提供されている拡張機能でこのようなことが起こるのはいかがなものかと思います。

後から悪意のあるアップデートがまかり通るような状態では、どのようなアドオンも安全とはいえなくなってしまいます。

Google側はこういった不正行為が起こらないよう、拡張機能の審査を強化するべきではないでしょうか。

Text Link Plusの代替アドオンは?

LinkItというアドオンがText Link Plusとほぼ同様の機能を持っているようで、今は代替手段としてこちらを使用しています。

こちらも正直言って完全に安全とは言い切れないのですが、今のところは問題は起きていません。

(追記)Chromeウェブストアから削除されました

2017年12月10日現在、Googleの判断によるものなのか、拡張機能製作者によるものなのかは不明なのですが、Chromeウェブストアから当該拡張機能「Text Link Plus」が削除され、インストールが出来なくなりました。

ただし、もしすでにText Link Plusをインストールしている場合は自動ではブラウザからは消えませんので、ご自身による削除を推奨します。

また、Text Link Plusの製作者による他のアドオン(例:速訳!英辞郎®英和辞書、製作者の名前は異なっていますが同一人物によるもののようです)でも同様の現象が起こっています。こちらも早晩対処されるのではないかと考えていますが万が一インストールされている場合は削除をオススメします。(id:kanfluさん情報提供thxです)

(追記)手動による削除でも現象が発生する場合

また、現在ストアからは消えていること・すでにインストールされている場合は自動で消えないことはは上記のとおりですが、一部環境において、拡張機能ウィンドウからゴミ箱ボタンを押して削除した場合でも、完全に削除されずコンピュータ内部にText Link Plusの拡張機能が残ることがあるようです。

その場合、ローカルフォルダにあるChrome拡張機能の保存場所を検索して削除する必要があります。(うぜさん情報提供thxです)

(追記)Text Link Plusがウェブストアに再掲載されました

2018年1月現在、Text Link PlusがChromeウェブストアに再度掲載されています。

リダイレクトなどの挙動、広告が勝手に挿入されるなど、やはり不審な挙動は治っていないようですので、使用は控えたほうが良さそうです。