ブラウザの拡張機能(エクステンション)は、詐欺師が仮想通貨を盗むことに一役買っている可能性がある ── 仮想通貨スタートアップ「カーサ(Casa)」のCEO、ジェレミー・ウェルチ(Jeremy Welch)氏はラトビアの首都リガで開催されたカンファレンス「バルティック・ハニーバッジャー(Baltic Honeybadger)」で聴衆に警告した。
「ブラウザエクステンションは大きなリスクを伴う。そうしたリスクは今まで議論されていなかった」とウェルチ氏は述べた。
エクステンションは大量のデータを集めることができ、それらは流出したり、盗まれたり、詐欺師によって利用される可能性がある。その一例はブラウザの閲覧履歴で、仮想通貨関連のウェブサイト閲覧を含むユーザーのオンライン習慣を暴露することができる。
「ビットコインアドレスをどこにも公開しないようにしてほしい」とウェルチ氏は警告した。
気に留めておくべきもう一つの点は、エクステンションの中には、ユーザーの顧客確認(KYC)情報をキャプチャーし、詐欺師のもとに流出させるものもあること。現時点でKYCを必要とする唯一の主要なマルチシグシステムは、アンチェーンド・キャピタル(Unchained Capital)が提供しているものとウェルチ氏は述べた。同氏はまた、アイデンティティーデータを集める、一般的に使われる消費者向けソフトウエアにも注意を喚起した。
一例として、ウェルチ氏は印象的な引用などを提供するエクステンションが、実際にどのようにしてKYCフォーム入力時にデータを盗んでいるのかを説明した。
マルウェアは運転免許証の写真のようなグラフィックデータを盗み、それがコードとしてキャプチャーされ、簡単に解読されることによって、身分証明書の実際の写真がハッカーに提供されることになる。
静かなデータ盗難
これがすべて、ユーザーが気付かないうちにバックグラウンドで行われている。
「うまくバックグラウンドで実行されているので、あなたはブラウザが実際にはデータを盗んでいることに気付かない」ウェルチ氏。
同じ壁紙エクステンションは、あなたが仮想通貨を他の誰か、あるいは自分自身に送ろうとした時に受け取りアドレスを変更し、代わりに詐欺師のウォレットに送ることもできる。ブラウザエクステンションは数多く、人気があるため、状況は極めて危険なものになっている。同氏は次のように述べた。
「恐ろしいですよね? 我々は皆、ブラウザエクステンションをいつも使っている」
ユーザーが非常に慎重で、利用するエクステンションを選りすぐっていたとしても、ソフトウエアのアップグレードの際に、新しい、安全ではない機能が消費者に気付かれずに追加される可能性があるとウェルチ氏は付け加えた。
ウェルチ氏は、パスワードマネジャー、文章編集アプリのグラマリー(Grammarly)、ライトニング(Lightning)トランザクション用エクステンションのジュール(Joule)、ビットコイン獲得エクステンションのロリー(Lolli)など、多くのよく知られたアプリケーションが個人データを収集していると指摘した。
解決策? 簡単なものはないとウェルチ氏は述べた。開発者はユーザー体験をより安全でより良いものにする、より優れたツールを構築し続けていくしかない。
「我々はこの問題をもっと議論する必要がある。なぜなら本当の攻撃が起こるフェーズにすらまだ達していない」
ウェルチ氏はまた、カーサは間もなくセキュリティーに関するさらなるリサーチ結果を発表する計画と述べ、ビットコイン開発者や起業家に、同社と連絡を取り、懸念やセキュリティー問題への対処方法についてのアイデアを共有することを呼びかけた。
翻訳:山口晶子
編集:増田隆幸
写真:Image of Jeremy Welch by Anna Baydakova for CoinDesk
原文:Browser Extensions Can Help Scammers Steal Your Bitcoin: Casa CEO
