ブラウザ拡張機能のマルウェア：あなたの開発ツールに潜むトロイの木馬 🔧

はじめに：見えざる脅威

毎日、数百万の開発者が生産性向上やコード整形、タブ管理、広告ブロックのためにブラウザ拡張機能をインストールしています。これらの小さなツールは便利さと効率性を約束します。しかし、その裏には多くの暗い秘密が潜んでいます。静かに資格情報を盗み、キーストロークを監視し、サイバー犯罪者が管理するリモートサーバへ敏感なデータを送信しているのです。

2024年末から2025年初頭にかけて、ブラウザ拡張機能を狙った攻撃が急増し、何百万ものユーザーが被害に遭いました。これらの攻撃の特に厄介な点は、開発者が最も信頼するツールを標的にしていることです。生産性向上ツールをデータ窃盗のトロイの木馬に変えてしまうのです。これは単なる理論上のリスクではなく、今まさに世界中の開発者が直面している現実です。

ブラウザ拡張攻撃の構造

悪意のある拡張機能の仕組み

ブラウザ拡張機能は、あなたのブラウジング環境内で非常に高い権限を持って動作します。彼らは入力された文字をすべて読み取り、訪れたページを確認し、ネットワークリクエストを傍受し、認証トークンにアクセスできます。正当な拡張が悪意に変わると、完璧な監視ツールとなるのです。

最近のマルウェアキャンペーンでは、高度な攻撃パターンが明らかになっています。悪意のある拡張は、侵害されたソフトウェアにworker.jsとcontent.jsという2つの重要なコンポーネントを注入します。これらのスクリプトは難読化されており、資格情報やセッションデータを収集するために設計されています。これらはバックグラウンドで動作し、コマンド＆コントロールサーバと通信し、拡張のバージョンや固有の識別子を送信し、悪意のある設定データをローカルに保存します。

最も懸念されるのは、これらの拡張がブラウザのセキュリティを低下させる点です。ウェブページからContent Security Policy（CSP）を系統的に解除し、脆弱性を作り出します。この多段階の攻撃手法により、検出は非常に困難になります。悪意のあるコードは特定の条件下でのみ動作し、セキュリティスキャン中は休眠状態にあります。

サプライチェーン攻撃の経路

2024年12月のCyberhaven事件は、ブラウザ拡張のセキュリティにおける転換点となりました。攻撃者はゼロから悪意のある拡張を作る必要はなく、巧妙なフィッシングキャンペーンと既存の信頼された拡張の乗っ取りを通じて、何百万ものブラウザにインストールされた拡張を侵害しました。

攻撃の始まりは、Chrome拡張開発者に向けたターゲット型フィッシングメールでした。これらのメールはGoogle Chrome Web Storeの公式連絡を装い、「ストアポリシー違反」を理由にしたものでした。内容はプロフェッショナルなフォーマットと緊急性のある言葉で構成され、即時対応を促します。

開発者が「Go To Policy」ボタンをクリックすると、偽のフィッシングサイトではなく、正規のGoogle OAuth認証ページにリダイレクトされます。ここで、攻撃者は巧妙に「Privacy Policy Extension」と名付けた悪意のOAuthアプリを作成し、「Chrome Web Storeの拡張を閲覧・編集・更新・公開する権限」を要求します。

開発者がこの権限を許可すると、攻撃者は拡張の完全コントロールを得て、秘密裏に悪意のあるアップデートをChrome Web Storeにプッシュできるようになります。数時間以内に、正規の拡張がデータ収集ツールに変貌し、ユーザーは自分の信頼していたソフトウェアが侵害されたことに気付かないままです。

実例：拡張機能が悪意に

Cyberhavenの侵害（2024年12月）

Cyberhavenは、セキュリティ企業でありながら拡張機能の攻撃に免疫がないことを示しました。2024年12月26日、同社のChromeブラウザ拡張がターゲット型フィッシング攻撃により侵害されたと発表しました。攻撃者は拡張開発者の権限を悪用し、悪意のあるバージョンをChrome Web Storeにアップロードしました。

侵害された拡張は即座に、Google WorkspaceやSlack、JiraからOAuthトークンを含む敏感なデータを収集し始めました。これらのトークンを使い、攻撃者は正規ユーザーになりすまし、顧客や財務データに不正アクセスを行いました。長期間気付かれなかったのは、従来のマルウェアを仕込まず、エンドユーザーへのフィッシングメールも送信せず、異常なネットワークトラフィックも観測されなかったためです。

TamperedChefキャンペーン（2024-2025）

2025年2月、GitLabの脅威インテリジェンスチームは、「TamperedChef」と呼ばれる大規模なキャンペーンを発見しました。少なくとも16の一般的なChrome拡張が侵害され、合計で320万人以上のユーザーに影響を与えました。これらの拡張は、スクリーンキャプチャツールや広告ブロッカー、絵文字キーボードなど無害に見えるツールを含んでいます。

調査により、攻撃者は少なくとも2024年7月から拡張をトロイ化しており、一部のインフラは2024年3月にさかのぼることが判明しました。攻撃者は開発者から直接購入や譲渡を通じて拡張のアクセス権を取得し、その後のアップデートに悪意のあるコードを注入していました。

これらの拡張は、独自の設定サーバーを使った高度なインフラを通じて動作し、定期的に悪意のペイロードを更新していました。広告詐欺や検索エンジン最適化の操作、最も懸念されるのはJavaScriptの注入による情報漏洩です。

35拡張の侵害（2024年12月）

2024年12月初旬から2025年1月末にかけて、複数の拡張が連携して侵害され、少なくとも35のChrome拡張が危険にさらされました。研究者は、拡張のソースコード解析と攻撃者管理のドメイン追跡によりこのキャンペーンを特定しました。

攻撃者は、成功前にターゲット拡張のドメインを登録し、綿密な計画と組織的な行動を示しました。解析では、フィッシングキットから提供されたスクリプトや、カナダのMcGill大学を模したフィッシングページに以前の悪意のコードが含まれていた例もあります。

このフィッシングインフラとの重複は、攻撃者が単なる広告詐欺師ではなく、サイバー侵入の運用者ともつながっていることを示唆しています。これらの侵害拡張を通じて得たアクセスは、企業ネットワークへの初期侵入や他の犯罪グループへの販売に利用される可能性があります。

DataSpiiとGreat Suspender：過去の事例

悪意のあるブラウザ拡張の問題は2024年だけのものではありません。2019-2020年のDataSpii事件では、多くのChromeとFirefoxの拡張が何百万ものユーザーの閲覧データを静かに収集し、企業の機密情報を第三者に漏らしていました。

2021年のGreat Suspender事件は、所有権の変動によって信頼された拡張が悪意に変わる例です。もともとは未使用のタブを一時停止させてメモリ管理を支援する正当なツールでしたが、その後、未知の第三者に売却され、悪意の追跡やデータ送信の仕組みが追加されました。数年前にインストールしたユーザーは、気付かぬうちに監視されていたのです。

実際に盗まれるもの

認証トークンとセッションクッキー

ほとんどの悪意のある拡張は、認証トークンとセッションクッキーを標的とします。これらのデジタルキーにより、攻撃者は多要素認証をバイパスし、パスワード不要でアカウントに即座にアクセスできます。

OAuthトークンは特に価値があります。パスワードやログアウトしても期限切れにならず、持続的なアクセスを可能にします。攻撃者は、これらのトークンを傍受したり、ブラウザのストレージから抽出したりして、アクセスを維持します。

最近のキャンペーンでは、Facebookのアクセス・トークンを狙い、ソーシャルメディアアカウントの乗っ取りや広告詐欺に利用されました。これにとどまらず、GitHub、AWS、Google Workspace、Microsoft 365、Salesforceなどの重要なビジネスプラットフォームのトークンも狙われています。

ソースコードと知的財産

開発者にとって、悪意のある拡張は知的財産に対する存在的脅威です。拡張は、コードリポジトリ内の活動を監視し、独自のアルゴリズムの動作を観察し、GitHub CodespacesやGitLab Web IDE、VS Code for WebなどのWebベースのIDEからソースコードを直接抽出することができます。

2023年前半には、セッショントークンの盗難を通じて、Slack、CircleCI、GitHubなどの高プロファイルのソースコード漏洩が発生しました。すべてのケースがブラウザ拡張によるものではありませんが、認証トークンが悪用されると、壊滅的な結果を招きます。

機密企業データ

拡張は、オンライン上で行うほぼすべての操作にアクセスできます。機密メールの閲覧、重要なドキュメントのスクリーンショット取得、SlackやTeamsの内部チャットの監視、エンタープライズSaaSアプリからのデータ抽出などです。

これにより、従来のセキュリティツールでは検知しきれない攻撃面が生まれます。エンドポイント検知・応答（EDR）やネットワークフィルタリング、Cloud Access Security Broker（CASB）などは、認証後のブラウザ内部の動きを把握できません。拡張は、その灰色領域で動作し、暗号化解除後や認証後に活動し、ウイルス対策の警告を引き起こすバイナリを落とさずに動作します。

キーストローク記録とフォームデータ

一部の悪意のある拡張は、キーロガーとして機能し、ブラウザで入力されたすべての文字を記録します。これには、Webフォームに入力されたパスワードやクレジットカード番号、個人識別番号、チャットアプリのメッセージも含まれます。

2024年に特定されたStealthSpy拡張は、当初は生産性向上ツールとして販売されていましたが、高度なキーロガーとして機能し、ChromeのスクリプトAPIを利用してすべてのWebサイトのキーストロークを記録し、詳細なユーザ行動と資格情報のプロファイルを作成しました。

なぜ開発者が標的になりやすいのか

高価値システムへのアクセス

開発者は、サイバー犯罪者にとって非常に価値の高いターゲットです。1つの侵害された開発者アカウントから、ソースコードリポジトリ、クラウドインフラ管理コンソール、CI/CDパイプライン、顧客データベース、実運用システムにアクセスできるからです。攻撃者は、開発者のブラウザへのアクセスを得ることで、組織のデジタル資産の鍵を握ることになります。

特権アクセスと信頼

開発者は、一般社員よりも高い権限を持つことが多いです。重要なシステムの管理者権限を持ち、コードを本番環境にデプロイし、インフラの設定を管理します。悪意の拡張が開発者のブラウザを侵害すると、これらの権限も引き継ぎます。

拡張機能中心のワークフロー

開発者は、一般ユーザよりも多くの拡張をインストールします。コード整形ツール、APIテストツール、Git連携ユーティリティ、カラーピッカー、JSONビューアなど、多数の生産性向上ツールを利用します。拡張の数が多いほど攻撃面も広がります。

低リスクの誤認

多くの開発者は、自分の技術力を過信し、ソーシャルエンジニアリング攻撃に対して脆弱性が低いと考えがちです。しかし、拡張開発者を狙った高度なフィッシングは、これを覆します。Googleからの正規のポリシー違反通知のメールに見える場合でも、セキュリティ意識の高い開発者でさえ騙されることがあります。

OAuthの脆弱性：完璧な嵐

OAuthトークンの窃盗

OAuthトークンは、サードパーティアプリがユーザーデータにアクセスするために設計されています。これにより、パスワード不要でのアクセスが可能となります。しかし、この便利さは、トークンが盗まれると大きなセキュリティリスクとなります。

パスワードと異なり、OAuthトークンはアクティブなセッションを必要としません。盗まれたトークンを使えば、ユーザのパスワードや二要素認証デバイスを知らなくても、なりすましが可能です。これらのトークンは、手動で取り消さない限り、長期間有効です。攻撃者は、傍受やブラウザのストレージから抽出して、継続的にアクセスを維持します。

最近の攻撃では、Facebookのアクセス・トークンを狙い、ソーシャルメディアアカウントの乗っ取りや広告詐欺に利用されました。これにとどまらず、GitHub、AWS、Google Workspace、Microsoft 365、Salesforceなど、多くの重要なプラットフォームのトークンも標的になっています。

許可画面フィッシング

許可画面フィッシングは、従来の資格情報フィッシングの進化版です。ユーザ名やパスワードを盗む代わりに、攻撃者はユーザに悪意のOAuthアプリへの権限付与を強要します。これにより、多要素認証をバイパスします。攻撃者はログインを試みるのではなく、ユーザにアクセス許可を与えさせるのです。

この手法は、ユーザが「許可」ボタンをクリックしやすい仕組みになっているため効果的です。たとえば、「Privacy Policy Extension」と名付けられた悪意のOAuthアプリがGoogleの正規ドメイン上に表示されると、慎重なユーザでも許可してしまうことがあります。

トークンの持続性と「MultiLogin」APIの悪用

2023年後半から2024年前半にかけて、セキュリティ研究者は、情報窃盗型マルウェアがGoogleのOAuth MultiLogin APIを悪用し、盗まれたクッキーの有効期限後も新しい認証クッキーを生成して持続的アクセスを維持していることを発見しました。このAPIは、Googleサービス間のアカウント同期用に設計されていますが、これを悪用して長期的なアクセスを可能にしています。

具体的には、通常の認証クッキーだけでなく、「リフレッシュ」トークンも盗み出し、無期限に新しい認証トークンを生成できるのです。ユーザがChromeから明示的にログアウトしたり、すべてのセッションを取り消さない限り、攻撃者は長期間アクセスを続けられます。

検出と警告サイン

不自然な権限要求

最初の兆候は、拡張の機能と乖離した権限要求です。たとえば、To-Doリストを提供すると謳う拡張がすべてのウェブサイトへのアクセス権を求めるのは不自然です。シンプルなメモツールに全サイトの閲覧・変更権限は不要です。

特に、webRequest API（ネットワーク傍受用）、declarativeNetRequest（ネットワークリクエストの変更）、またはhost_permissionsのような広範なアクセス権を求める拡張には注意してください。正当な拡張でも必要な場合がありますが、最も危険なデータ窃盗の手段となり得ます。

急なアップデートと挙動変化

長期間使用している拡張が突然新たな権限を要求し始めたら、警戒すべきです。拡張の乗っ取りは、信頼された拡張を侵害し、その後追加の権限を要求するアップデートを送るパターンが一般的です。

アップデート通知を注意深く監視しましょう。たとえば、広告ブロッカーが突然Gmailへのアクセス権を必要としたり、スクリーンショットツールがクリップボードの内容を読む権限を求めたりした場合、その必要性を疑ってください。正規の開発者は通常、アップデートノートで権限変更を説明しますが、悪意のある者はこっそりと行うことがあります。

レビューとコミュニティの警告

拡張をインストールする前に、最新のレビューをよく確認しましょう。苦情のパターンに注意してください。異常な動作や不審な権限要求、ネットワーク活動の兆候を報告しているレビューです。多くのレビューがあるのに評価が低い、または、長期間良好な評価の後に突然悪いレビューが増えた場合も注意です。

セキュリティ研究者やサイバーセキュリティコミュニティからの警告も重要です。拡張が悪意と判明した場合、セキュリティブログやフォーラム、SNSで情報が迅速に拡散されます。Twitter/XやDiscord、Slackの関連コミュニティに参加し、早期の警告情報を得ることも有効です。

開発者アカウントの変更

拡張の所有者変更は、重大なリスク要因です。開発者が変わると、新しい所有者がユーザープライバシーやセキュリティに同じコミットメントを持っている保証はありません。実際、多くの高プロファイル拡張は、正規の開発者が売却や譲渡を行い、その後悪意のあるコードが追加されるケースがありました。

残念ながら、拡張ストアは所有者変更を目立たせて表示しないことも多く、ユーザに通知されません。これにより、悪意のある者が大規模なユーザーベースを持つ拡張を取得し、攻撃に利用する機会が生まれます。

開発者向け保護戦略

拡張の使用を最小限に

最も効果的な防御策は、インストールする拡張の数を減らすことです。拡張を増やすほど攻撃面は広がります。必要な機能だけを持つ拡張に絞り、ブラウザの内蔵機能やWebベースの代替手段で代用できるか検討しましょう。

定期的にインストール済みの拡張を見直し、不要なものは削除してください。拡張は動作していなくてもセキュリティリスクとなるためです。月次の見直しで、価値のない拡張を排除することが、リスク低減に繋がります。

拡張の真正性を確認

拡張をインストールする際は、その正当性を確認しましょう。開発者の情報や公式ウェブサイトを確認し、信頼できるものであることを確かめてください。名前が有名ツールに似ている拡張には特に注意が必要です。なりすましは一般的な手口です。

ユーザ数が多く、長い歴史を持つ拡張を選びましょう。人気があるから安全とは限りませんが、一定の信頼性はあります。開発者の公式サイトに掲載されている正規品かどうかも確認してください。

別のブラウザプロファイルを利用

異なるセキュリティコンテキストごとに別のブラウザプロファイルを使うことを検討してください。一般的な閲覧用と、機密性の高い開発リソースや銀行口座、企業システム用に分けるのです。敏感な作業用のプロファイルには拡張をインストールしないことで、侵害された拡張が資格情報やトークンにアクセスできなくなります。

この方法は切り替えの手間はありますが、セキュリティ上非常に有効です。

ハードウェアセキュリティキーの導入

YubiKeyやGoogle Titanなどのハードウェアセキュリティキーは、トークン盗難に対して強力な防御策です。これらを設定しておけば、拡張によって盗まれたセッションやOAuth資格情報も、ハードウェアキー認証を突破できません。

GitHub、AWS、Google Cloud Platform、企業のID管理システムなど、重要なサービスにはハードウェアキー認証を設定しましょう。物理的な障壁が、遠隔攻撃者の侵入を防ぎます。

定期的な権限の見直し

インストール済み拡張に付与した権限を定期的に確認しましょう。ブラウザの拡張管理画面では、各拡張が要求した権限と実際に付与された権限が表示されます。過剰な権限を持つ拡張には疑いを持ち、必要最小限のアクセス権に制限しましょう。

OAuthトークンについても、アカウントのセキュリティ設定から連携アプリを定期的に見直し、不要なものは解除してください。これにより、古いトークンによる不正アクセスを防止できます。

ネットワーク監視とエンドポイント検知

組織では、ネットワーク監視を導入し、ブラウザ拡張が不審なコマンド＆コントロールサーバと通信していないか監視します。未知のドメインや悪用例の多いホスティングサービスへの異常な通信は調査対象です。

エンドポイント検知・応答（EDR）ソリューションも、拡張の不審な動作やシステムコマンドの実行を検知できます。ただし、拡張はブラウザ内だけで動作するため、完全な検知は難しい場合もあります。

組織レベルの拡張許可リスト

企業では、拡張のインストールを制限するためにアプリケーションコントロールを実施すべきです。承認済みの拡張だけを許可し、セキュリティレビューを通過したものに限定します。

特に、権限の高い拡張は特定バージョンに固定し、自動アップデートを防ぐことも検討してください。これにより、悪意のあるコードの導入リスクを低減できます。管理の手間は増えますが、強固な防御策となります。

侵害時の対応

直ちに行うべきこと

拡張が侵害された疑いがある場合は、すぐに対処しましょう。まず、疑わしい拡張を無効化またはアンインストールします。Chrome Web Storeから削除しても、ユーザのブラウザから自動的に消えるわけではないため、手動で削除が必要です。

次に、すべてのデバイスでアカウントのセッションをログアウトします。これにより、現在のセッショントークンが無効になり、盗まれた資格情報の悪用を防ぎます。Googleアカウントの場合は、g.co/mydevicesにアクセスし、すべてのセッションを確認・取り消ししてください。

OAuthトークンの取り消し

すべてのプラットフォームでOAuthトークンを見直し、不要なアプリや認証を取り消しましょう。特に、「フルアクセス」や「すべてのデータの読み書き」権限を持つアプリはリスクが高いため、優先的に取り消します。

資格情報の変更

メールや銀行、クラウドインフラ、コードリポジトリなど、重要なアカウントのパスワードを変更してください。パスワード変更だけではOAuthトークンの無効化にはなりませんが、今後の不正利用を防ぎます。

不審な活動の監視

拡張の除去とアカウントのセキュリティ確保後は、不審なアクセスの兆候を監視します。ログイン履歴や設定変更、連携サービスの動作を確認しましょう。コードリポジトリでは、コミットやプルリクエスト、設定変更を確認し、バックドアや不審なコードの挿入を警戒します。

組織への通知

組織の開発者で侵害を発見した場合は、直ちにセキュリティチームに連絡してください。被害の範囲や他の社員への影響を評価し、組織全体の対策を講じる必要があります。隠蔽は、攻撃者が持続的にアクセスできるリスクを高めるため避けましょう。

今後のブラウザ拡張セキュリティ

Manifest V3とプラットフォームの変化

GoogleのManifest V3は、拡張のセキュリティ向上を目的に導入されました。より厳格な権限要求と、強力だったWebRequest APIの代わりに制限されたDeclarative Net Request APIを採用しています。これにより、セキュリティの基準は向上しましたが、脅威は完全になくなっていません。

攻撃者は、スクリプトの注入や権限の乱用を駆使し、Manifest V2時代と同様の情報収集やウェブトラフィック操作を行っています。2024年・2025年の攻撃例は、Manifest V3でも高度な攻撃が可能であることを示しています。

ストアの審査プロセスの改善

ブラウザベンダーは拡張の審査を強化していますが、既存の信頼された拡張のサプライチェーン攻撃は依然として大きな課題です。自動セキュリティスキャンは一部の悪意のコードを検知できますが、難読化されたペイロードには対応できません。

自動アップデートは、迅速なセキュリティ修正を可能にしますが、同時に信頼された拡張を攻撃者が武器化するリスクも伴います。これらのバランスを取ることは、未解決の課題です。

AIによる検知の役割

AIや機械学習は、異常検知やパターン認識を通じて、悪意のある拡張の検出を向上させる可能性があります。拡張の挙動や通信、コードの変化を分析し、侵害された拡張を早期に特定できるかもしれません。

しかし、攻撃者もAIを利用し、より高度な難読化やフィッシングキャンペーンを作り出しています。防御側と攻撃側の技術競争は激化しています。

結論：信頼は確認を伴うべき

ブラウザ拡張は、現代ソフトウェアの根幹をなす一方で、大きなセキュリティリスクも孕んでいます。特に、敏感なコードや資格情報、インフラに日々関わる開発者にとって、そのリスクは非常に高いです。

2024年末から2025年にかけての攻撃は、セキュリティ意識の高い開発者や組織でさえも、拡張の侵害から免れないことを示しています。社会工学、OAuthの悪用、サプライチェーン攻撃を組み合わせた高度な攻撃には、多層的な防御が必要です。

防御の第一歩は、意識を高めることです。悪意のある拡張の仕組みやターゲット、拡散経路を理解し、信頼できるツールだけを使う判断をしましょう。拡張の使用を最小限に抑え、権限を定期的に見直し、ブラウザのコンテキストを分離し、高価値アカウントには強力な認証を導入してください。

最も信頼される拡張も、1つの侵害で悪意に変わる可能性があります。昨年インストールした便利ツールが、明日にはデータ窃盗のトロイの木馬になるかもしれません。今あなたのツールバーに静かに座る拡張は、あなたが入力したすべてを監視し、OAuthトークンを抜き取り、ソースコードを犯罪者のサーバに送信している可能性があります。

ブラウザ拡張の世界では、疑心暗鬼はバグではなく、機能です。信頼は確認を伴うべきです。あなたのデータとコード、そして組織のセキュリティは、それにかかっています。

---

重要ポイント

• 影響範囲拡大：2024-2025年に320万人以上が悪意の拡張により被害
• サプライチェーン攻撃：開発者をフィッシングで侵害し、信頼された拡張を悪用
• OAuthの悪用：許可画面を騙し、拡張を公開・乗っ取り
• トークン窃盗：多要素認証を回避し資格情報を盗む拡張
• 開発者標的：高価値システムへのアクセスと拡張の多用
• 静かに動作：従来のセキュリティツールを回避
• 防御の要：拡張の使用を最小化し、分離されたブラウザプロファイルを活用