Firefoxアドオンのスタッツに自分が作ったものではないバージョンが8月5日以降1000個以上も記録されている。
正式版でアップデートされない異常に大きな数字、1000より大きいバージョンとかが並んでいて、状況からマルウェアの配布に悪用されているとしか思えない。
日付をバージョンナンバーにする等すればアップデートで上書きできないこともないが、気付いた相手がさらに大きな数字を出してきたら鼬ごっこになるだけなので、やるだけ無駄だろう。
自分以外にも同様の状況になっている開発者がいるが、やはりどうにもならない様子。

Mozillaは状況に気付いているのかいないのか、今後半年程度で新しい"signing"について取り組んでいく、としている。
現状では対応のしようがない、とも。
MozillaはsyncでMozillaのサーバーにアップロードされたユーザーが使っているアドオンを見れば状況が正確にわかるはずで、それを踏まえての対応なのかもしれない。
動きがあることは歓迎するが、相変わらず遅い。
新方式が導入されるにしても、リリース版で利用可能になるのは早くて来年の夏。

不審なバージョンは適当に作ったあとSNS等を介して詐欺的誘導でインストールに至っているのだと思う。
サーチエンジンでいくら探しても見つからない。主にヨーロッパで拡散していることもあって、なおさら探しにくい。
Mozillaに依頼して特定のバージョンをブラックリストに追加することは可能だが、なにしろ次から次に新しいバージョンを作ってばらまかれているので意味がなく、それで新しい仕組みを作ろうとしているのだろうが、考えてみればなぜ今までそういう対策が取られていなかったのか疑問でもある。

不審なバージョンを作っているのは一人ではなく、複数が別々にやっている感じがする。
ユーザー数が極端に多いアドオンは狙われていないので、見つからないように意識して少なくはないが多すぎもしないものを狙っているのだろう。許されざる悪事を働いているという認識がある証拠ともいえる。
改造バージョンの実物が手に入っていないので一体どんなコードを仕込んであるのかわからないが、アドオンの構造上全然関係ないアドオンに全然違う名前を付けてIDだけ自分のが流用されているという可能性も考えられる。
悪人たちが全くバレることなくやりたい放題やってる状況だ。
非常に腹立たしい。

一方で、そういう不審なものをインストールしてしまっている"ユーザー"たちは一体どういう経緯でインストールしたんだろう。
各所からソフトをただ単に転載して"収録"し人を集め広告で稼いでいるサイトはたくさんあって珍しいものではないが、そういう所から疑いもせずにインストールする人が思いのほか多いということなんだろうか。

たとえ誰かが悪意ある改造版を使って不利益を被ったとしても、それは全部自己責任ですよとしか言いようがない。
アドオン自体はなるべくトラブルが起こらないよう常識外れな馬鹿が使うことを想定してデザインしているが、改造されて悪意をもって配布されたらこちらはどうしようもない。
誰かが痛い目にあっても自分には責任はない。
しかし、自分の作品が悪事に利用されていることは実に不愉快だし、変なものをインストールするような人は責任の所在を判断することもできないだろうから出鱈目に文句を言う、責任のない自分が文句を言われる、という事態は簡単に想像できる。
その時に「騙されたお前が悪い」という意味のことを言い返したとして、相手が納得するかというと、それも難しいように思う。
現時点でおかしなバージョンを使ってる人の人数は減り始めていて何らかの形で異変に気づいてその使用をやめているようで、このまま静かに消えていってほしい。

改造してばら撒いている連中は、単発の愉快犯としてやっているのではなく、継続しておそらく何らかの形で金を稼ぐことを目的としていると考えられる。
そういう連中に目を付けられたこと自体が失敗であって、何か対策を考えた方がいい。