パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2021年5月21日のセキュリティ記事一覧(全1件)
15290362 story
Chrome

Microsoft Authenticatorの偽拡張機能、Chromeウェブストアで見つかる 3

ストーリー by nagazou
偽レビューまで用意とは 部門より
headless 曰く、

Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事The Registerの記事Windows Centralの記事Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacksが確認したところ、拡張機能は「run Microsoft Authenticator」というオプションのあるシンプルなページを表示し、ボタンをクリックするとポーランドのWebページが開いて別のサインイン/アカウント作成ページにリダイレクトされたそうだ。Ghacksが発見した時点のユーザー数は448人で、星3つとレーティングされている。レビューには偽物だと警告するものがある一方で、高評価の偽レビューらしきものもみられたとのこと。拡張機能は既にストアから削除されているが、最終更新日の4月23日から1か月近く見つからずにいたようだ。

Chromeウェブストアの開発者プログラムポリシーでは、他人になりすましたり、他人から許可を得たふりをしたりといった行為が禁じられている。なお、本物のMicrosoft AuthenticatorはAndroid/iOSアプリのみがそれぞれGoogle Play/App Storeで公開されており、拡張機能版は提供されていない。Internet Archiveのスナップショット(要JavaScript無効化)でChromeウェブストアの拡張機能のページを見ると、拡張機能の説明はApp StoreのMicrosoft Authenticatorアプリからコピーされたもので、つじつまの合わない説明になっている。MicrosoftはThe Registerに対し、Microsoft AuthenticatorのChrome拡張機能を提供したことはなく、怪しい拡張機能をChromeウェブストアで見つけたら報告するようユーザーに推奨したとのことだ。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...