Chrome・Edgeの不正な拡張機能で、230万人に影響─対策が難しい巧妙な手口とは
米時間2025年7月8日、セキュリティ研究者が、Google ChromeおよびMicrosoft Edgeのブラウザ拡張機能を悪用した大規模なハイジャックキャンペーンを報告した。
この攻撃は、10万回以上のダウンロード数を記録した拡張機能「Geco Color Picker」を含む複数の拡張機能を通じて、約230万人のユーザーに影響を及ぼした。
特に恐ろしいのは、攻撃者が当初は無害な拡張機能を配布し、Googleの認証バッジを得た正当なツールとして信頼を築いた後、アップデートを通じて悪意のあるコードを忍び込ませた点である。本記事では、この手口の解説と被害の対象になった拡張機能を紹介する。
参考サイト:Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware.
事件の概要
問題の拡張機能は、初期段階では悪意のあるコードを一切含まず、カラーピッカーなどの実用的な機能を提供する正当なツールとしてWebストアに公開されていた。Googleの認証バッジが付与されたことで、ユーザーの信頼を獲得。
しかし、攻撃者はアップデートを悪用し、段階的に悪意のあるスクリプトを注入。これにより、ブラウザ設定の改変、検索エンジンのリダイレクト、不正広告の表示、個人情報の窃取が行われた。
影響を受けたユーザーは、Chrome WebストアやMicrosoft Edge Add-onsから拡張機能をインストールした個人および企業ユーザーで、被害規模は少なくとも230万人に及ぶ。個人情報の漏洩や不正広告による収益損失が深刻な懸念となっている。
対象となった拡張機能
以下は、今回のキャンペーンで悪用されたと確認されたChromeおよびEdgeの拡張機能とその主な機能である。
以下にリストされている拡張機能のいずれかをインストールしている場合、今すぐアンインストールし、ブラウザのデータを消去して、アカウントに不審なアクティビティがないか注意してほしい。
Chrome向け拡張機能
| 拡張機能名 | 拡張機能ID | 主な機能 |
|---|---|---|
| Geco Color Picker | kgmeffmlnkfnjpgmdndccklfigfhajen | カラーピッカー |
| AdBlock Plus | dpdibkjjgbaadnnjhkmmnenkmbnhpobj | 広告ブロッカー |
| YouTube Downloader | gaiceihehajjahakcglkhmdbbdclbnlf | YouTube動画ダウンロード |
| Web Translator | mlgbkfnjdmaoldgagamcnommbbnhfnhf | Webページ翻訳 |
| Dark Mode Switch | eckokfcjbjbgjifpcbdmengnabecdakp | ダークモード切り替え |
| Tab Manager | mgbhdehiapbjamfgekfpebmhmnmcmemg | タブ管理 |
| Coupon Finder | cbajickflblmpjodnjoldpiicfmecmif | クーポン検索 |
| Password Generator | pdbfcnhlobhoahcamoefbfodpmklgmjm | パスワード生成 |
| Screenshot Tool | eokjikchkppnkdipbiggnmlkahcdkikp | スクリーンショット撮影 |
| Note Taker | ihbiedpeaicgipncdnnkikeehnjiddck | メモ帳機能 |
Edge向け拡張機能
| 拡張機能名 | 拡張機能ID | 主な機能 |
|---|---|---|
| Video Ad Skipper | jjdajogomggcjifnjgkpghcijgkbcjdi | 動画広告スキップ |
| Shopping Assistant | mmcnmppeeghenglmidpmjkaiamcacmgm | 商品検索、価格比較など |
| Price Tracker | ojdkklpgpacpicaobnhankbalkkgaafp | 商品の価格変動を追跡 |
| Web Scraper | lodeighbngipjjedfelnboplhgediclp | Webサイト内の情報を取得 |
| Custom Font | hkjagicdaogfgdifaklcgajmgefjllmd | カスタムフォント適用 |
| Bookmark Organizer | gflkbgebojohihfnnplhbdakoipdbpdm | ブックマーク整理 |
| Social Media Manager | kpilmncnoafddjpnbhepaiilgkdcieaf | ソーシャルメディア管理 |
| Productivity Timer | caibdnkmpnjhjdfnomfhijhmebigcel | 生産性タイマー |
信頼させてから裏切る、巧妙な攻撃手法
このキャンペーンの最も不気味な特徴は、攻撃者が信頼を逆手に取った手法にある。
拡張機能は当初、完全に機能する無害なツールとして公開され、Googleの審査を通過。その後、アップデートを通じて以下の悪意ある動作を徐々に導入している。
- 検索エンジンの乗っ取り:ユーザーのデフォルト検索エンジンを攻撃者管理のサーバーにリダイレクト。
- 不正広告の埋め込み:正規Webページに広告を挿入し、クリックを誘導。
- データ窃取:閲覧履歴やフォーム入力データを外部サーバーに送信。
この「信頼から裏切りへ」の手法は、Webストアの審査プロセスを巧妙に回避するサプライチェーン攻撃の一種である。ユーザーが信頼してインストールした拡張機能が、後から攻撃ツールに変貌する危険性は、従来のセキュリティ意識では防ぎにくい。
影響と対策
この攻撃は、個人ユーザーのプライバシー侵害だけでなく、企業ネットワークにおけるセキュリティリスクの増大を引き起こしている。特に、リモートワークでのブラウザ利用が増える中、拡張機能の管理は喫緊の課題だ。以下の対策が推奨される。
- 拡張機能の見直し:信頼性の低い拡張機能や使用頻度の低いものを即座に削除。
- アップデートの監視:自動更新を無効化し、アップデート内容を確認。
- セキュリティツールの強化:最新のセキュリティソフトでリアルタイム監視を実施。
- 公式ストアの徹底:非公式ソースからの拡張機能インストールを避ける。
今後の課題
GoogleおよびMicrosoftは、問題の拡張機能をストアから削除し、審査プロセスの見直しを約束した。しかし、攻撃者が新たな手法を開発する可能性は高く、ユーザー側の警戒が不可欠である。専門家は、ブラウザ拡張機能の潜在的リスクに対するユーザー教育の重要性を強調する。
この事件は、デジタル環境における「信頼の脆弱性」を露呈した。安全なインターネット利用には、技術的対策とユーザーの意識改革が欠かせない。
この記事をシェア
