2万人に影響、悪意あるChrome拡張が認証情報や閲覧データを送信

Google Chromeの拡張機能において、ユーザー情報を不正に収集する108件の悪意あるアドオンが確認されました。これらは見た目は便利なツールやゲームを装いながら、裏でデータ送信や不正操作を行う仕組みです。約2万人が影響を受けた可能性があり、早急な対応が求められています。
The Hacker News：108 Malicious Chrome Extensions Steal Google and Telegram Data, Affecting 20,000 Users

この記事のポイント

影響のあるシステム

Google Chromeブラウザ
Chrome Web Storeからインストールされた拡張機能（108件）
Googleアカウント（OAuth認証情報）
Telegram Webセッション
YouTube・TikTokなどのWebサービス利用環境

推奨される対策

不審なChrome拡張機能を即時削除する
インストール済み拡張機能の一覧を確認し、不要なものを整理する
Telegram Webのセッションをモバイルアプリからログアウトする
Googleアカウントのセキュリティ設定を確認する
拡張機能は信頼できる提供元のみ利用する

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

C2（Command and Control）：攻撃者がマルウェアなどを遠隔操作するためのサーバーです。
OAuth2：外部サービスがユーザーの認証情報を安全に利用するための認証プロトコルです。
セッションハイジャック：ユーザーのログイン状態を乗っ取り、不正アクセスを行う攻撃手法です。
Content Security Policy（CSP）：Webページにおけるスクリプト実行などを制御するセキュリティ機構です。

拡張機能を悪用した情報窃取の仕組み

今回発見された108件のChrome拡張機能は、すべて同じ攻撃インフラと通信していたと報告されています。これらの拡張機能は一見すると便利なツールやエンターテインメント用途のアプリに見えますが、内部ではユーザーの認証情報やWebサイト上での活動内容などを収集し、外部サーバーへ送信していたとされています。

特に注目すべきは、Googleアカウントの識別情報やTelegramのセッション情報など、重要度の高いデータが対象となっている点です。これらの情報が漏えいした場合、アカウント乗っ取りや不正アクセスにつながるリスクがあります。ユーザー自身が気付かないまま情報が収集されるため、被害の発見が遅れる可能性もあります。

多様な機能を装った巧妙な偽装

これらの拡張機能は、Telegramクライアントやゲーム、動画サービスの拡張機能、翻訳ツールなど、さまざまな用途を装って公開されていました。異なる開発者名義で提供されているものの、実際には同一のバックエンドを共有していたとされています。このように見た目や用途を分散させることで、多くのユーザーにインストールさせる狙いがあったと考えられます。

また、一部の拡張機能はブラウザ起動時に自動で不正なURLを開いたり、すべてのWebページにスクリプトを注入したりする機能を持っていました。さらに、セキュリティヘッダーを無効化することで、本来防がれるべき攻撃を成立させる仕組みも確認されています。こうした機能の組み合わせにより、ユーザーの操作を広範囲にわたって制御する可能性があります。

国内ユーザーが取るべき現実的な対策

日本国内でもChrome拡張機能は広く利用されており、同様のリスクは十分に想定されます。まず実施すべきは、現在インストールされている拡張機能の棚卸しです。不要なものや提供元が不明確なものは削除し、最小限の構成にすることが基本的な対策となります。

また、すでに影響を受けた可能性がある場合は、Googleアカウントのセキュリティ確認やTelegramセッションのログアウトを行うことが推奨されています。企業環境では、拡張機能の利用を制限するポリシー設定や監査の導入も有効です。利便性の高い機能であっても、その裏にあるリスクを理解し、慎重に利用する姿勢が求められます。

参考文献・記事一覧

The Hacker News

投稿者プロフィール

CyberCrew（サイバークルー）: CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。