Chrome拡張機能のサプライチェーン攻撃：Devツールが悪意に変わる 🔧

ブラウザセキュリティへの脅威の拡大を理解する

2024年と2025年において、ブラウザ拡張機能を標的としたサプライチェーン攻撃は、最も懸念されるサイバーセキュリティの脅威の一つとして浮上しています。これらの攻撃は、正当な開発ツールに対するユーザーの信頼を悪用し、日常的に使用されるブラウザ拡張を高度なデータ窃取の手段へと変貌させています。最近のCyberhaven拡張機能の侵害は、セキュリティ重視のツールであっても、攻撃者が開発パイプラインに侵入すればサイバー犯罪の媒介となり得ることを強く示す例です。

Cyberhaven事件：現代サイバー戦争のケーススタディ

2024年クリスマスイブ、サイバーセキュリティ企業Cyberhavenは高度なフィッシング攻撃の犠牲となり、Chrome拡張機能が侵害され、約40万人のユーザーに影響を及ぼしました。この事件は孤立したものではなく、より広範なキャンペーンの一環であり、最終的には合計で2600万人以上のユーザーを持つ35以上のChrome拡張に影響を与えました。

攻撃のタイムライン

攻撃は、セキュリティチームの活動が減少する休暇シーズンに合わせて正確に行われました：

2024年12月24日：サイバーサポートのメールアドレスにGoogle Chrome Web Store Developer Supportからのように見えるフィッシングメールが届き、Cyberhavenの拡張機能がストアポリシーに違反し、削除される危機にあると通知されました。

従業員の侵害：従業員が埋め込みリンクをクリックすると、「Privacy Policy Extension」というアプリのGoogleのOAuth認証フローにリダイレクトされました。多要素認証とGoogleの高度な保護を有効にしていたにもかかわらず、従業員は誤って悪意のあるサードパーティアプリに権限を付与してしまいました。

2024年12月25日 (UTC 1:32)：攻撃者は、CyberhavenのChrome拡張の悪意のあるバージョン（バージョン24.10.4）をChrome Web Storeにアップロードしました。驚くべきことに、この改ざんされたバージョンはGoogleのセキュリティ審査を通過し、公開が承認されました。

2024年12月25日 (UTC 11:54 PM)：Cyberhavenのセキュリティチームは侵害を検知し、発見から60分以内に悪意のあるパッケージを削除しました。

2024年12月26日 (UTC 2:50)：悪意のあるコードは完全に配布から除去され、攻撃期間は約25時間に限定されました。

攻撃の技術的仕組み

この悪意のある拡張は、高度なマルウェアエンジニアリングの一例です。攻撃者は、クリーンな公式Cyberhaven拡張を改ざんし、特定の高価値アカウントを標的とする追加コードを埋め込みました。主な目的は、Facebookのアクセス・トークンやビジネスアカウントの資格情報の収集、AIプラットフォームやソーシャルメディア広告アカウントの標的化です。

マルウェアは以下の仕組みで動作しました：

Cookieとセッショントークンの窃取：侵害された拡張は、ターゲットのウェブサイトから認証クッキーやセッショントークンを静かに収集し、パスワード不要でアカウント乗っ取りを可能にしました。

二要素認証の回避：悪意のあるコードには、Facebookドメイン用のマウスクリックリスナーが含まれており、ページクリック時にQRコードを含む画像を取得し、CAPTCHAや2FAの認証リクエストを回避しようとしました。

コマンド＆コントロールインフラ：盗まれたデータは攻撃者制御のドメインに送信されました。Darktraceの分析によると、1つの被害環境から約859MBのデータが外部サーバーに送信されたことが判明しています。

自動データ収集：大量かつ頻繁なデータ転送は、自動化された収集技術を利用した高度な操作を示しています。

より広範なキャンペーン：Cyberhaven以外も

最初の報告ではCyberhavenへの標的攻撃とされていましたが、その後の調査でより大規模な作戦であることが判明しました。少なくとも2024年3月から活動しており、12月末まで続いていた可能性があります。

確認された侵害拡張機能

セキュリティ研究者は、このキャンペーンに関与した少なくとも36のChrome拡張を特定しています：

• VPNCity（1万ユーザー） - 2024年12月12日更新
• Wayin AI（4万ユーザー） - 2024年12月19日更新
• Search Copilot AI Assistant（2万ユーザー） - 2024年7月17日更新
• Reader Mode（30万ユーザー） - 2024年12月18日更新
• Bard AI chat（10万ユーザー） - 2024年10月22日削除
• TinaMind（4万ユーザー） - 2024年12月15日更新
• YesCaptcha assistant（20万ユーザー） - 2024年12月29日更新
• GraphQL Network Inspector（8万ユーザー） - 2024年12月29日更新

攻撃者は、検出されにくいタイミングを狙い、休日や週末に攻撃を仕掛ける巧妙さを見せました。クリスマス当日には多くの拡張が更新され、多くのセキュリティチームが少人数で対応していました。

最近のエスカレーション：Trust Walletの侵害

2025年末、暗号資産ウォレットのTrust Walletは、220百万以上のユーザーを持つこのウォレットに対して壊滅的なサプライチェーン攻撃を受けました。2025年12月24日、攻撃者はTrust WalletのChrome拡張バージョン2.68を漏洩したChrome Web Store APIキーを使って侵害しました。

この攻撃により、約750万〜850万ドル相当の暗号資産が盗まれ、2,520のウォレットアドレスに被害が及びました。悪意のあるコードは、ユーザーのニーモニックフレーズ（シードフレーズ）を攻撃者制御のサーバーmetrics-trustwallet[.]comに送信し、不正アクセスを可能にしました。盗まれた資産には、約300万ドルのビットコイン、431ドルのソラナ、300万ドル超のイーサリアムが含まれます。

Trust Walletは、この侵害をShai-Huludサプライチェーンの問題に起因するとし、開発者のGitHub秘密情報が漏洩し、ブラウザ拡張のソースコードとChrome Web Store APIキーの両方に攻撃者がアクセスできたと明らかにしました。

攻撃ベクターの理解：OAuthの悪用

これらの攻撃の成功は、正当なOAuth認証フローを悪用した点にあります。これは従来のセキュリティ対策が対処しにくい根本的な弱点です。以下、その理由です：

OAuthの脆弱性

OAuth（Open Authorization）は、パスワードを公開せずにアプリケーションに限定的なアクセス権を付与する仕組みです。しかし、この攻撃シナリオでは、「Privacy Policy Extension」が「Chrome Web Storeのコンテンツを閲覧、編集、更新、公開」する権限を要求しました。

開発者がGoogleの正規の認証ページを通じてこれらの権限を付与した場合、攻撃者は拡張機能を完全に制御できる状態になりました。多要素認証は資格情報の盗難を防ぎますが、正規のOAuthフローを通じた悪意のあるアプリの認可を防ぐことはできません。

なぜ従来の防御策は失敗したのか

以下の複数のセキュリティ層は、この攻撃を防止できませんでした：

メールセキュリティソリューション：フィッシングメールは、Googleの正規通信を模倣しており、従来のメールフィルターを突破しました。

多要素認証：MFAは開発者アカウントの資格情報を保護しましたが、悪意のあるOAuthアプリの認可を防げませんでした。

Chrome Web Storeの審査：Googleの自動化されたセキュリティ審査は、標準的な拡張更新に埋め込まれた悪意のあるコードを検知できませんでした。

高度な保護プログラム：Googleの高リスクユーザ向けの高度な保護プログラムも、OAuth認証フローの悪用を防ぎきれませんでした。

拡張機能を狙った脅威の拡大

最新の調査では、Chrome拡張エコシステム内のセキュリティ課題の深刻さが明らかになっています：

市場統計とリスク

• Chromeの市場シェア：63.7-67.9%、約34.5億人のユーザー
• 拡張機能の普及率：企業従業員の99%がブラウザ拡張をインストールし、52%は10以上使用
• 高リスク拡張：300,000拡張のうち51%が高リスクと分析
• 古い拡張：60%は12ヶ月以内に更新されておらず、約3.5億人のユーザーが脆弱性にさらされている
• 実被害者数：2024-2025年に文書化された悪意ある拡張により580万人以上が直接影響

サプライチェーン攻撃の傾向

ブラウザ拡張を標的としたサプライチェーン攻撃は、ますます高度化しています。攻撃者は、単なるアカウント侵害を超え、次のような手法に進化しています：

• 正規拡張の購入：攻撃者は、既存の拡張を開発者から買収し、侵害ではなく買収を選択
• 高度なJavaScript難読化：巧妙なコードで検知を回避
• 遅延悪意の動作：数週間や数ヶ月にわたり正規の動作を装いながら、悪意の機能を後から有効化
• 動的設定：リモート設定ファイルを使い、ターゲティングや検知回避を行う

組織と個人への影響

拡張機能の侵害は、個人だけでなく組織にも甚大なリスクをもたらします。

企業への影響

データ損失防止やセキュリティ監視、生産性向上を目的とした拡張機能が侵害されると、次のような深刻なリスクが生じます：

• ネットワーク侵入：企業ネットワークやクラウドツールへの直接アクセス
• 資格情報の収集：従業員のアカウント情報を窃取
• データ漏洩：機密情報の不正抽出
• 横展開：他システムやアカウントへの侵入
• 持続的アクセス：侵害後も継続的にアクセス可能

個人ユーザのリスク

個人ユーザにとっても、侵害された拡張は次のリスクをもたらします：

• アカウント乗っ取り：SNSやメール、金融アカウントへの不正アクセス
• 個人情報の盗難：詐欺目的の情報収集
• 金銭的損失：暗号資産や銀行情報の窃取
• プライバシー侵害：閲覧履歴や個人通信、機密データの漏洩

Trust Walletの事件だけでも、多数の被害者が暗号資産のアクセスを失い、企業は全被害者への補償を約束しています。これは信頼維持のために必要なコストです。

検知と対応策

組織と個人は、拡張機能を標的とした脅威に対して包括的な検知と対応策を講じる必要があります。

早期警告のサイン

セキュリティチームは以下を監視すべきです：

• 異常なネットワーク活動：特に深夜や休日の外部ドメインへの不審な通信
• 大量データ転送：大規模なデータ漏洩の兆候
• OAuth認証の異常：新規アプリの広範な権限要求
• 拡張の更新パターン：異常な時間や不審なソースからの更新
• ユーザ行動の変化：普段アクセスしないリソースへのアクセス

検知技術

高度な検知には複数層の技術が必要です：

行動分析：Darktraceなどのツールは、HTTP POSTやGETリクエストの異常パターンを検知してCyberhavenの侵害を特定しました。

ネットワーク監視：深層パケット解析や異常検知を導入し、データ漏洩を早期に発見します。

エンドポイント検知：拡張のインストール、更新、権限変更を全社的に監視します。

SIEM連携：拡張関連のイベントを他のセキュリティ情報と相関させて総合的に脅威を検知します。

保護と予防のベストプラクティス

拡張機能を狙ったサプライチェーン攻撃に対抗するには、多層的な対策が必要です：

企業向け

1. 拡張管理の徹底

• 承認済み拡張のホワイトリストを維持
• 企業向けブラウザ管理ポリシーを導入
• 自動更新を防ぐバージョン固定
• 定期的な拡張の監査

2. 監視と検知の強化

• ExtensionTotalなどのツールで継続的に監視
• 行動分析による異常検知
• OAuthアプリの権限監視と疑わしい権限の取り消し
• 拡張の更新や新規インストールに対するアラート設定

3. セキュリティコントロール

• ネットワークをセグメント化し、拡張のアクセス範囲を制限
• データ損失防止ポリシーの適用
• 高リスク活動にはブラウザの隔離技術を使用
• 最小権限の原則に基づく権限設定

4. インシデント対応計画

• 拡張侵害シナリオに特化したプレイブック作成
• 休日や深夜対応可能な迅速対応チームの設置
• 被害者通知用のコミュニケーションテンプレート作成
• Mandiantなどのインシデント対応企業との連携

個人ユーザ向け

1. 拡張の衛生管理

• 必要最小限の拡張のみを信頼できる開発者からインストール
• インストール前に権限を確認し、定期的に見直す
• 使わない拡張は即削除
• 拡張の更新は監視し、不審なパターンには注意

2. 認証のセキュリティ

• 強力なパスワードを使い、開発者や重要アカウントを保護
• すべてのアカウントで多要素認証を有効化
• OAuthの権限は定期的に見直し、不要なものは取り消す
• 権限要求には疑念を持つ

3. 警戒心と意識向上

• プラットフォームからのメールは慎重に確認
• ポリシー違反の通知は公式チャネルで確認
• 許可を与える前に、要求される権限の範囲を理解
• 不審な拡張はプラットフォームに報告

開発者向け

1. アカウントのセキュリティ

• Chrome Web Storeのアカウントにはハードウェアセキュリティキーを導入
• 専用の開発マシンを使用し、セキュリティを強化
• 最小権限の原則で開発者資格情報を管理
• アクティビティを常に監視

2. コードのセキュリティ

• コード署名と検証を徹底
• 複数承認を求めるCI/CDパイプラインを使用
• 定期的なセキュリティ監査
• 公開済み拡張の不正変更を監視

3. OAuthアプリの審査

• OAuthアプリの事前審査を徹底
• 常に検証を行うポリシーを採用
• 企業向けOAuth管理ツールを利用
• OAuthリスクについて開発チームに教育

プラットフォーム提供者の役割

Googleや他のブラウザプラットフォームは、拡張エコシステムのセキュリティ向上に大きな責任を負います。

現在の課題

CyberhavenやTrust Walletの事例は、Chromeのセキュリティモデルの弱点を露呈しています：

• 審査不足：悪意のあるコードが自動審査を複数回通過
• OAuthのリスク：正規の認証フローが過剰な権限を許可
• 更新検証の欠如：更新が正規のものであるかの確認不足
• 遅延検知：悪意の拡張は長期間活動可能

改善すべき点

プラットフォーム側は以下を実施すべきです：

強化された審査要件：重要な拡張の更新は、新規申請とみなして詳細な手動審査を行う。特に大規模ユーザや広範な権限を持つ拡張について。

権限分析：権限要求と機能の整合性を分析し、ミスマッチを検知する仕組みを導入

開発者の本人確認：人気拡張の開発者アカウントには追加の認証ステップを設ける

APIキーの管理強化：APIキーの不正利用を防ぐための異常検知やアクセス制御を強化

迅速な対応体制：24時間体制のセキュリティ監視と迅速対応チームを設置

ユーザ保護：悪意のある拡張のバージョンを自動的にロールバックし、クリーンな状態に復元できる仕組みを整備

教訓と今後の展望

Cyberhavenの事件とその後の発見は、サイバーセキュリティ界に貴重な教訓をもたらしています：

重要なポイント

信頼だけでは不十分：セキュリティ重視の企業や開発者も、高度な攻撃に巻き込まれる可能性があります。すべてのサードパーティコード、特にブラウザ拡張については、「信頼して確認せよ」の姿勢が必要です。

休日のタイミング：攻撃者は意図的に休日や週末を狙い、セキュリティチームの対応が遅れるタイミングを狙います。オフ時間でも監視を怠らないことが重要です。

OAuthの見直し：正規の認証フローも悪用され得るため、権限付与の管理と監視を強化すべきです。

サプライチェーンの脆弱性：ソフトウェアの各段階に潜む脆弱性を排除し、包括的なセキュリティ対策が求められます。

迅速な対応の重要性：Cyberhavenは約25時間の攻撃期間にとどめ、迅速な検知と対応が被害を最小化しました。

今後の脅威の動向

今後も拡張機能を標的とした攻撃は進化し続けると予測されます：

• 高度化：攻撃者は、正規拡張の購入や買収を通じて、より巧妙な手法を採用
• AIの活用：AIを用いた攻撃ツールの普及により、攻撃の高度化が進む
• 暗号資産標的：Trust Walletの事例は、暗号資産関連拡張の攻撃が増加していることを示す
• 国家関与：高価値アカウントや企業情報を狙った国家レベルの攻撃も疑われる
• 商業化：サイバー犯罪ツールや技術が市場で販売され、攻撃の敷居が低下

規制と法的影響

拡張機能の侵害増加に伴い、規制や法的措置も強化される見込みです：

予想される規制の変化

政府や規制当局は以下を導入する可能性があります：

• ブラウザ拡張開発者向けのセキュリティ基準義務化
• 侵害事案の開示義務化
• プラットフォーム提供者の責任強化
• 機密データを扱う拡張の認証要件

企業の責任

侵害された拡張を使用した企業は、以下の義務を負う可能性があります：

• GDPRやCCPAに基づく情報漏洩通知義務
• 顧客データ漏洩に対する責任
• 規制当局の調査や罰則
• セキュリティ失敗に関する株主訴訟

結論：新たな常態への対応

ブラウザ拡張は、生産性やセキュリティ、機能性に欠かせないツールとなっています。しかし、Cyberhavenの侵害や類似の事件は、これらのツールがサプライチェーン攻撃により高度な攻撃ベクトルとなり得ることを示しています。

今後は、組織、個人、プラットフォーム提供者が拡張のセキュリティに対して根本的な見直しを行う必要があります。信頼だけに頼るのではなく、検証と監視、迅速な対応が現代の拡張セキュリティの要です。

組織は、堅牢な拡張管理と高度な検知技術の導入、そして24時間体制のセキュリティ監視を継続すべきです。これらのコストは、侵害が成功した場合の被害に比べれば微々たるものです。

個人は、警戒心と疑念を持つことが重要です。すべての認証リクエストは精査し、インストールは必要性を確認し、不審な動きは即座に調査すべきです。

Googleなどのプラットフォーム提供者は、オープン性と機能性のバランスを取りつつ、セキュリティと信頼性を高める必要があります。審査の強化と迅速な対応は、エコシステムの健全性を維持するための基本的な要件です。

Cyberhavenの事件は、警鐘です。現代の脅威環境では、開発ツールや生産性拡張が瞬時に悪意に変わる可能性があります。次のサプライチェーン攻撃がいつ起きるかは不明ですが、組織は備える必要があります。

サイバーセキュリティコミュニティは、これらの攻撃を分析し、より良い防御策を構築し続ける必要があります。唯一変わらないのは、「セキュリティはゴールではなく、継続的な旅路である」という事実です。警戒と適応、協力が不可欠です。日常的に頼る拡張も、他の重要インフラと同じく、厳格なセキュリティ監査を受けるべきです。特に、特権アクセスを持つ拡張は、より一層の注意が必要です。

---

この記事について：この分析は、Cyberhaven、Trust Wallet、Binanceの公式発表と、Darktrace、Obsidian Security、ExtensionTotal、Mandiant、独立したセキュリティ研究者による調査に基づいています。事件のタイムラインと技術的詳細は、2026年1月時点の情報を反映しています。