アンインストールを妨げる機能が搭載されたWebブラウザー拡張機能タイプのアドウェアが見つかる!

セキュリティベンダーのMalwarebyteは18日(現地時間)、一度インストールすると普通の方法ではアンインストールできなくなるWebブラウザー「Chome」と「Firefox」を対象とした機能拡張(エクステンション)型のアドウェアを発見したとお知らせしています。

このアドウェアはWindowsやMac OS Xなどの各OSにおけるChromeやFirefoxでインストールしてしまうと、勝手に動画配信サービス「YouTube」の動画を再生して広告収入源にしたり、Webブラウザーの検索を乗っ取るなどの“ハイジャック攻撃”を仕掛けてくるということです。

通常はWebブラウザーで原因となる拡張機能をアンインストールすれば、さらなる被害は発生しないのですが、今回見つかったアドウェアはアンインストールできないようにする機能が組み込まれているとのことでなかなか厄介な代物となっています。

【Chromeの場合】

chrome

報告を行なったMalwarebytesでは、まずChorme向けのアドウェアの場合に「Tiempo en colombia en vivo」と呼び、Firefox向けと比べて非常に悪質だと説明しています。

chrome-extension

通常、Chromeでは右上のメニューボタン(︙)から「その他の機能」→「拡張機能」をクリックすると「 chrome://extensions/ 」(URL欄に直接入力することでも表示可)にアクセスされ、上記のような拡張機能管理画面が表示されます。

chrome-extension2

この拡張機能管理画面でWebブラウザー拡張機能を有効化したり、無効化したり、削除(アンインストール)することができるのですが、このTiempo en colombia en vivoをインストールしてしまうと、「 chrome://extensions/ 」にアクセスしても「 chrome://apps/?r=extensions 」というURLに勝手に転送されるようになり、上図のような画面が表示されるだけで、拡張機能の削除を行うことができなくなります。

chrome-extension3

このTiempo en colombia en vivoをインストールしてしまった際の対処方法ですが、Chromeのショートカットの「プロパティ」を開き、リンク先の末尾に「 --disable-extensions」と入力して一旦「OK」をクリックし、ショートカットをダブルクリックします。

すると、すべてのWebブラウザーの拡張機能が無効化された状態でChromeが起動されますので、ひとまずの被害は免れます。しかしながら、これでは他の拡張機能も使えませんし、この状態で「 chrome://extensions/ 」にアクセスしても何も表示されないのでTiempo en colombia en vivoを削除することができません。

最終的には同社のウイルス対策アプリ「Malwarebytes」のFree版をダウンロード・インストールしてスキャンをかけることで駆除することはできるとしています。

【Firefoxの場合】

firefox

同様にFirefoxにもChrome向けアドウェアのTiempo en colombia en vivoと似た動きをする「FF Helper Protection 6.6.0」というものが発見されています。

こちらは、Chromeのように公式の拡張機能ストアで配布されているのではなく、Firefoxの手動アップデータを装った広告を表示させ、そこからインストールさせるような手法を採用していました。

firefox-extension

FirefoxにもChromeと同じく、拡張機能の管理画面を右上のメニューボタン(︙)から「アドオン」で開くことができます。しかし、FF Helper Protection 6.6.0がFirefoxにインストールされていると、この管理画面がChromeと同じく利用できません。

ただし、FirefoxにはChromeと違って拡張機能を無効にしつつ、かつ、FirefoxだけでFF Helper Protection 6.6.0を削除できる「セーフモード」が用意されているため、セーフモードで起動すれば、FF Helper Protection 6.6.0を削除可能です。

firefox-extension2

Shiftキーを押しながら、Firefoxのショートカットをダブルクリックすると、セーフモードで起動するかどうか聞かれますので、「セーフモードで起動」ボタンをクリックします。

firefox-extension3

すると、Firefoxが立ち上がるため、右上のメニューボタン(︙)から「アドオン」をクリックし、Chromeと違って拡張機能が全て無効化されていて削除できるようになっていますので「FF Helper Protection 6.6.0」の削除ボタンをクリックして削除を行います。

firefox-extension4

削除が完了したらFirefoxを一旦終了し、今度は何も押さずにFirefoxのショートカットをダブルクリックすることで、正常に起動するようになります。FF Helper Protection 6.6.0の削除もできているので、一応、再度、右上のメニューボタン(︙)から「アドオン」を表示させると、正常に表示されるようになっていると思われます。

ChromeとFirefox向けの厄介なWebブラウザー拡張機能タイプのアドウェアの対処方法を紹介しましたが、Firefoxの方が簡単にできるのでその点はChromeと比べて非常に優秀です。

ただし、ChromeもFirefoxも対象のアドオン削除後に、必ずウイルス対策ソフトウェアでフルスキャンをかけることを忘れないようにしてください。これらの拡張機能が別のウイルスをダウンロードしている可能性も拭えませんので……。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
New Chrome and Firefox extensions block their removal to hijack browsers - Malwarebytes Labs | Malwarebytes Labs
Removal instructions for Tiempo en colombia en vivo - Malware Removal Self-Help Guides - Malwarebytes Forums