海外のセキュリティ企業 Koi Security が、ShadyPandaと呼ばれる攻撃グループによるブラウザ拡張機能の悪用キャンペーンを報告しています。正規として配布されていたChrome/Edge向け拡張機能が、数年の運用を経て悪意ある更新に差し替えられ、閲覧履歴や検索クエリ、クリック情報などを密かに送信していたとされています。インストール数は累計430万件以上に達し、一部拡張機能は日本のユーザーにも影響する可能性があります。
The Hacker News:ShadyPanda Turns Popular Browser Extensions with 4.3 Million Installs Into Spyware
この記事のポイント
影響のあるシステム
- Chrome Web Store で公開されていた拡張機能(例:Clean Master、Speedtest Pro、BlockSite など)
- Microsoft Edge Add-ons で公開されていた拡張機能(例:WeTab、新規タブ系の拡張機能 など)
- 壁紙・生産性向上・新規タブ・ダウンロード管理などをうたう拡張機能全般
- 拡張機能の自動更新を有効にしたブラウザ環境(Windows/macOS 問わずブラウザ依存)
推奨される対策
- 記事で名指しされている拡張機能をインストールしている場合は即時削除すること
- 開発元が不明・インストール理由を思い出せない拡張機能を整理・削除すること
- 過去に問題のある拡張機能を利用していた可能性がある場合、主要サービスのパスワードを変更し、多要素認証を有効化すること
- 企業環境では、拡張機能の利用ポリシー(許可リスト/ブロックリスト)を整備し、監査を定期的に実施すること
- Edge/Chrome を最新バージョンに更新し、権限要求の多い拡張機能には特に注意すること
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- ブラウザ拡張機能:Chrome や Edge に追加して機能を拡張する小さなプログラムです。新しいタブ画面の変更や広告ブロックなどが代表的な例です。
- リモートコード実行(Remote Code Execution):遠隔のサーバーからコードをダウンロードして実行させる仕組み・攻撃手法です。不正なコードを実行されると、ブラウザ内の操作やデータを攻撃者に握られる可能性があります。
- ブラウザフィンガープリント:利用中のブラウザやOSの種類、画面サイズ、フォントなどの情報の組み合わせから、利用者を特定しやすくする識別情報です。
- アドウェア/アフィリエイト不正:ユーザーのブラウジングに広告や追跡タグを紛れ込ませ、購入や予約に紐づく紹介料を不正に得る行為を指します。
ShadyPandaが仕掛けた「正規拡張からスパイウェア化」までの流れ
今回のケースの特徴は、最初から明らかなマルウェアとして配布されたわけではなく、一見便利な正規拡張機能として広く普及してから、時間をかけてスパイウェアへと変質していった点にあります。Koi Security によると、問題となった拡張機能のうち5つは、長年にわたり通常の機能を提供していたものの、2024年半ばに配信された更新によって悪意あるコードが追加されたと報告されています。中には、過去に Google によって「おすすめ」として取り上げられ、信頼性の高いツールとして認知されていた拡張機能も含まれていたとされています。
これらの拡張機能は、インストール数の多さと、長期間トラブルなく利用されていた実績によって、ユーザーに強い安心感を与えていました。その結果、ユーザーは更新内容を細かく確認しないまま自動更新を許可し、攻撃者は「静かなバージョンアップ」を通じて悪意ある機能を注入できてしまったとされています。記事によれば、このキャンペーンは少なくとも7年にわたり継続していたとされており、初期段階では比較的目立たないアフィリエイト不正から始まり、その後より直接的な監視・情報窃取へとエスカレートしていったと分析されています。
技術的な仕組みと4段階の攻撃フェーズ
技術面では、拡張機能が定期的に外部サーバーへアクセスし、任意の JavaScript をダウンロード・実行する仕組みが悪用されていたと報告されています。具体的には、拡張機能が1時間ごとに「api.extensionplay[.]com」といったドメインへ接続し、配布されたスクリプトをブラウザ内で実行することで、閲覧中のWebページやクッキー情報、ブラウザフィンガープリントなどを取得していたとされています。収集されたデータは暗号化され、「api.cleanmasters[.]store」など攻撃者側のサーバーへ送信されていたとされます。また、開発者ツールが開かれたことを検知すると、一時的に無害な挙動に切り替える仕組みも備えていたと報告されており、解析や異常検知を逃れる工夫が施されていました。
キャンペーン全体は、おおまかに4つの段階に分かれていたと説明されています。初期フェーズでは、eBay や Booking.com、Amazon などのサイトにアクセスした際に、こっそりアフィリエイトのトラッキングコードを挿入し、購入や予約から不正な紹介料を得るのが主目的でした。その後、2024年初頭には、検索クエリのリダイレクトや検索結果の改ざん、特定ドメインのクッキー窃取など、ブラウザの挙動をより積極的に制御する攻撃へと変化しています。最終段階では、(※ただし、記事更新時点でWeTabはEdgeストアから削除済み) WeTab などの新規タブ拡張が大規模な監視プラットフォームのように動作し、閲覧した全URL、検索語、マウスクリック、スクロール時間など、ユーザーの行動を詳細に記録し続けていたとされています。
日本の企業・ユーザーが今すぐ確認すべきポイント
今回の事案は、個人ユーザーだけでなく、企業の情報システム部門にとっても教訓が多いケースです。まず重要なのは、「どの拡張機能を誰が使っているか」が把握されていない環境では、今回のような長期キャンペーンに気づくことが難しいという点です。元記事では、影響を受けた可能性のあるユーザーに対し、問題の拡張機能を即座に削除し、念のため認証情報(パスワードなど)を変更することが推奨されています。特に、業務で利用するクラウドサービスやメール、社内ポータルサイトにアクセスするブラウザで利用していた場合、アカウントの乗っ取りやセッションハイジャックのリスクを想定した対応が望まれます。
企業側としては、まず社内標準ブラウザと許可された拡張機能の一覧を整備し、原則として「許可リスト方式」で運用することが現実的な対策と考えられます。Microsoft は、記事公開後に問題の拡張機能を Edge アドオンストアから削除したとコメントしており、併せて最新バージョンへの更新、不要な拡張機能の削除、権限の見直し、企業管理者によるポリシー設定や監査の実施を推奨しています。日本企業においても、同様にブラウザ拡張機能を「見えないリスク」として放置せず、資産管理・ログ監査・利用ポリシーの整備を組み合わせた継続的な管理が求められると考えられます。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
