Google Chromeは記事作成時点でWebブラウザのシェアでトップに堂々のトップに立っています。トップに立っている要因の1つに拡張機能をインストールしてWebブラウザに様々な機能を追加できる点が挙げられます。しかし、同ブラウザの拡張機能をダウンロードできるChrome ウェブストアに「Microsoft製」と銘打って「実在するスマートフォン用アプリ」を名乗ったマルウェア付きの拡張機能が存在し、Googleが削除するまでの1カ月間、公開され続けていたことが発覚しました。
- Google removes fake Microsoft Authenticator Chrome extension after a month in the store - Neowin
- Don't download this Microsoft Authenticator extension for Chrome: it is fake - gHacks Tech News
Chrome ウェブストアに公開された偽物の拡張機能は「Microsoft Authenticator」で、スマートフォン用の「同名アプリの機能」がPC用のGoogle Chromeで使用できることを売りとしていました。しかし、本物のMicrosoft Authenticatorは多要素認証を行うことが目的のアプリであるため、あくまでもモバイル機器用のもの。つまり、PC用のWebブラウザでこのアプリと同じ機能が利用できるようになることはありません。
この偽物のMicrosoft Authenticatorは2021年4月23日から公開されており、約400人のユーザーによってダウンロードされたことが確認されています。この拡張機能を使用すると、ユーザーをポーランドのWebサイトに誘導し、そこで認証情報保存用のアカウントを作成させるよう求めていたようです。仮にアカウントを作成してしまった後も拡張機能を使い続けた場合は認証情報がそのまま奪い取られてしまう危険性があります。
Microsoftは「Google Chrome用の拡張機能として、Microsoft Authenticatorを作成したことも、公開したこともない」として、Chrome ウェブストアに公開されていた拡張機能は偽物であることを認めています。このため、同社は「このような、偽物の疑いがある拡張機能を見つけたユーザーはChrome ウェブストアに報告するようにしてください」と声明を出しています。
一方のGoogleはこの拡張機能を削除していますが、「なぜ、公開後、1ヶ月間も放置されていたのか」について、記事作成時点でコメントを出していません。