OITA: Oika's Information Technological Activities

@oika 情報技術的活動日誌。

【注意】Google Chromeで長い英数字がヘンな文字列に置換されると思ったら

Chromeブラウザで調べ物をしているときに、とつぜん文字化けしたみたいに、一部の英語だけがへんなランダムっぽい文字列に置き換わる現象が起きた。

↑MSDNで「DependencyPropertyChangedEventArgs」を調べたところ。

Webページがバグってんのかとも思ったが、他のブラウザで見ると普通に見える。

これ以外にも「BooleanToVisibilityConverter」とか、どうやら一定文字数のアルファベットが変換されるようで、しかもどれもすべて「16qcsLhcYm4NdG4fVkW2mwfDB8kwpPsYCq」という同じ文字列に化ける。

んん?と思って、出現した「16qcsLhcYm4NdG4fVkW2mwfDB8kwpPsYCq」をググってみると、なんか、 ビットコインのアドレス みたいなものがヒットする・・。

原因はChromeの悪意ある拡張機能

悪意の気配を感じ、Chromeの拡張プラグインをひとつずつオフにして試したところ、原因が判明。

「YouTubeのための自分好みプラス」という(すでにChrome ウェブストアからは削除済み)YouTubeの広告をブロックするプラグインだった。英語だと「Adblock Plus for YouTube」かな。
よく似た名前の「YouTube™のための自分好み」(Adblock for Youtube™)というのがあって、勝手にその後継かと思っていたけど、実は全然関係なかったのかも…。

で、結局これなんなのよっていう話なんだけど、これはあれだ。おそらく。

ビットコインのアドレスっぽい文字列(27-34文字くらいの連続する英数字)を勝手に自分のアドレスに書き換えることで、ブラウザ上でビットコインの送金をしようとしたユーザーから金を巻き上げる仕組みだ。

調べたら、つい先月、「ドテンくる」という仮想通貨トレードのアラートみたいなChromeプラグインで、おんなじようなアドレス書き換えのスクリプトが仕込まれてたことが発覚して問題になっていたらしい。

しかし仮想通貨となにも関係のない広告ブロックのプラグインにまでこんなのが仕組まれてるとは・・・。

結論

Chromeの拡張機能はこわい。

よくわからないプラグインは入れちゃダメ。っていうけど、よくわかってるプラグインなんて無いからなぁ実際。

OSSなら安心かと思いきや、件の「ドテンくる」なんかは、難読化されたjqueryの中にロジック仕込んでたらしいし。そんなの気づかんわ。

仮想通貨使ってないから関係ないやーという話でもなく、他にどんな悪意が仕込まれてるかもわからんからね。