
Microsoftは、Microsoft Edge Add-onsストア上で確認された不正な拡張機能119件を削除したと報告しました。これらは広告ブロッカー、VPN、翻訳、動画ダウンロードなどを装い、画像やフォントに不正コードを隠していたとされています。最大で260万人規模のインストール基盤があったとされますが、実際の被害人数は不明です。
The Hacker News:Microsoft Removes 119 Edge Extensions That Hid Malware in Images and Fonts
この記事のポイント
影響のあるシステム
- Microsoft Edgeで、対象となる不正なEdge拡張機能をインストールしていた利用者が影響を受けた可能性があります。
- Microsoft Edge Add-onsストア上の119件の拡張機能が、単一の脅威アクターに関連付けられていると報告されています。
- 対象の拡張機能は、広告ブロッカー、VPN、翻訳ツール、動画ダウンローダーなど、一般的に利用されやすい種類を装っていたとされています。
- インストール基盤は最大260万人とされていますが、これは被害者数ではなく上限値であり、実際に侵害された人数は不明です。
- Google認証情報、サインイン時の二要素認証コード、WordPress管理者ログイン、Cookieなどが窃取対象になったと報告されています。
- 元記事では、特定のCVE番号、CVSSスコア、影響バージョンは示されていません。
推奨される対策
- Microsoft Edgeで
edge://extensionsを開き、インストール済み拡張機能を確認してください。 - Microsoftの技術レポートに掲載された拡張機能ID一覧と照合し、該当する拡張機能がある場合は削除してください。
- 該当する拡張機能を利用していた場合、Google、WordPress、銀行、業務システムなど重要アカウントのパスワードを変更してください。
- 最近のサインイン履歴を確認し、不審なログインやセッションがないか確認してください。
- SMSコードだけに依存せず、可能であればハードウェアセキュリティキーなど強固な多要素認証を検討してください。
- 企業では、承認済み拡張機能のみを許可するポリシー、拡張機能の棚卸し、C2ドメインや不審な通信の監視を行ってください。
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- StegoAd:Microsoftが今回の不正拡張機能キャンペーンに付けた名称です。ステガノグラフィとアドウェアを組み合わせた呼称と説明されています。
- ステガノグラフィ:画像や音声、フォントなど一見普通のファイルの中に、別のデータを隠す手法です。今回の事例では不正コードを隠すために使われたと報告されています。
- C2:Command and Controlの略称です。攻撃者が不正コードへ命令を送ったり、盗んだ情報を受け取ったりするための管理サーバーを指します。
- リモートコード実行バックドア:外部から任意のコードを実行できる裏口機能です。元記事では、サーバーから送られたJavaScriptを実行できる機能が含まれていたとされています。
- セッションハイジャック:ログイン済み状態を示すCookieなどを悪用し、正規利用者になりすましてサービスにアクセスする攻撃です。
- Manifest V2 / Manifest V3:Chrome系ブラウザ拡張機能の仕様世代です。元記事では、攻撃者がプラットフォーム変更に合わせて移行していたと説明されています。
- アドフラウド:広告表示やクリック、アフィリエイト報酬などを不正に操作し、攻撃者が収益を得る行為です。
便利な拡張機能に見せかけた長期的な不正運用
今回の事例で注意すべき点は、不正拡張機能が明らかに怪しい見た目ではなく、広告ブロッカー、VPN、翻訳ツール、動画ダウンローダーといった、多くの利用者が日常的に導入しやすい機能を装っていたことです。元記事によると、これらの拡張機能は実際に期待される機能を提供し、レビューも獲得していたとされています。そのため、利用者にとっては「動作する便利な拡張機能」に見え、不審に感じにくい構造だった可能性があります。Microsoftは、この活動を「StegoAd」と呼び、少なくとも2021年から活動していた単一の脅威アクターに119件の拡張機能を関連付けています。さらに、多日数の遅延、サーバー側の検証、一部の亜種で10%の実行ゲートが使われていたため、すべてのインストール環境で直ちに不正処理が起動するわけではなかったとされています。このような仕組みにより、ストア上で長期間見逃されやすくなり、調査者や自動検査を回避していた可能性があります。
画像やフォントに不正コードを隠す手口
StegoAdという名称の由来になっているのが、ステガノグラフィを使った不正コードの隠蔽です。元記事によると、初期の亜種ではPNGアイコンのIENDマーカーの後ろにJavaScriptを追加し、画像としては正常に表示される一方で、内部に不正なペイロードを持たせていたとされています。その後、検知が進むにつれて、攻撃者はWebP画像やWOFF2フォントファイルへ手口を移し、アジア系文字のように見えるグリフ範囲やフォントのメタデータにコードを隠したと説明されています。さらに、一部の高影響な亜種では、拡張機能内にペイロードを同梱せず、C2サーバーから通常の画像に見えるファイルを取得し、文字の大文字小文字変換、数字変換、Base64、XORなど複数の処理を通じて復号した後、署名を確認して実行していたと報告されています。C2サーバーは、指紋情報やUser-Agentの確認を通過したリクエストにのみ本物のファイルを返し、直接調査するアクセスには空の偽装応答を返していたとされます。これは、単純な静的スキャンや表面的なレビューだけでは検知しにくい手口です。
広告詐欺だけでなく認証情報窃取にも関与

表面的な被害としては、広告挿入、Amazon、eBay、AliExpressにおけるアフィリエイト報酬の乗っ取り、検索リダイレクトなどの広告詐欺が報告されています。しかし、Microsoftが取得したペイロードの分析では、それだけにとどまらない機能が確認されたとされています。元記事では、サーバーから送られた任意のJavaScriptを実行できるリモートコード実行バックドア、Googleの認証情報とサインイン時の二要素認証コードの窃取、WordPress管理者ログインの収集、大量のCookie外部送信によるセッションハイジャックが挙げられています。これらが事実であれば、単なる広告表示の迷惑行為ではなく、アカウント乗っ取りや管理画面への不正アクセスにつながる可能性がある問題です。また、Microsoftは7つのGoogle AnalyticsトラッキングIDが隠れたテレメトリとして使われ、攻撃者がGoogleのインフラを通じてキャンペーン状況をほぼリアルタイムに把握していた可能性を示しています。企業利用の端末でこの種の拡張機能が動作していた場合、ブラウザ内に保存された認証状態や業務サービスへのアクセスが影響を受けた可能性を前提に確認する必要があります。
企業が確認すべき拡張機能管理とアカウント保護
Microsoftは、119件の拡張機能を削除し、90以上の開発者アカウントを停止したとしています。ただし、利用者側で確認が不要になるわけではありません。元記事では、edge://extensions を開き、Microsoftの技術レポートに掲載された拡張機能ID一覧と照合することが推奨されています。該当する拡張機能が見つかった場合、またはEdgeによって自動削除された形跡がある場合は、ブラウザが侵害されていた可能性を考慮し、Google、WordPress、銀行、その他の重要サービスのパスワード変更、最近のサインイン履歴の確認、強固な多要素認証の有効化を行う必要があります。特に、SMSコードは認証情報窃取に対して十分でない場合があるため、利用可能であればハードウェアセキュリティキーの導入が有効とされています。企業では、従業員が自由に拡張機能を追加できる状態を見直し、承認済み拡張機能のみを許可するポリシー、定期的な棚卸し、不審なC2通信やブラウザ拡張機能由来の通信の監視を組み合わせることが現実的です。
過去キャンペーンとの重なりと継続的な警戒

元記事では、StegoAdが完全に新しい活動というより、既知の不正拡張機能キャンペーンの新たな形に見えると説明されています。特に、認証情報窃取ペイロードの外部送信先として「mitarchive.info」というドメインが挙げられており、このドメインはKoi SecurityがDarkSpectreと関連付けたものとされています。Koi Securityは、DarkSpectreを中国系の活動として、過去にShadyPandaやGhostPosterの拡張機能キャンペーンと関連付けていたと報告されています。また、StegoAdが拡張機能自身のアイコン内にコードを隠す手法は、数カ月前にGhostPosterで使われた方法と同じであり、「Ads Block Ultimate」など共通する拡張機能名も確認されているとされています。Microsoftは脅威アクター名を公表していませんが、重なりは明確であり、オペレーターは現在も活動中と述べています。この点から、ストアから削除された後も、類似名称、別ストア、別ブラウザ、別アカウントを使った再出現に注意する必要があります。
参考文献・記事一覧
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)









