WEBブラウザ最大手であるChromeに、仮想通貨のデータを盗む恐れがある拡張機能があるとしてGoogleはChrome拡張ストアから49個の拡張機能を削除した。

削除された拡張機能はLedger、Trezor、Jaxx、Electrum、MyEtherWallet、MetaMask、Exodus、KeepKeyなどをターゲットとしたものとなっている。

Chrome拡張機能の開発はオープンにされており、Chromeストアへの掲載申請も誰にでも開かれている。ニーモニックフレーズやプライベートキー、キーストアファイルなどのウォレットへアクセスするための資格情報をバックグラウンドで送信しており、悪意のあるハッカーによりウォレットがいつでもアクセスできる状態へとさらされていた。

単純に資格情報のみを入力させるだけのシンプルな悪意ある拡張機能であれば誰でも見抜くことは可能かもしれないが、実際に有益な機能を提供しつつバックグラウンドで攻撃することも可能であるため、プライベートな情報や権限を求める拡張機能に対しては、作成元を厳重に確認する必要がある。

参考:MyCrypto(medium)