287個の Chrome 拡張機で閲覧履歴が外部送信される-合計インストール数は約3,740万

セキュリティニュース

投稿日時: 更新日時:

287個の Chrome 拡張機で閲覧履歴が外部送信される-合計インストール数は約3,740万

セキュリティ研究者(Q Continuum)が2026年2月8日に公開した調査レポートによると、Chrome拡張機能のうち287本が閲覧履歴(アクセスURL)を外部へ送信している可能性が高いとされています。対象拡張の合計インストール数は約3,740万で、Chrome利用者全体の約1%規模に相当すると推計しています。

レポートは、悪性拡張の典型である情報窃取だけでなく、データブローカー的な収集(広告・分析用途)も含む形で「閲覧履歴が第三者に渡る構造」が現在進行形で存在する点を問題視しています。

関与するグループは、Similarweb、Curly Doggo、Offidocs、中国系アクター、無名のデータ仲介業者、さらにSimilarwebと関連が疑われるBig Star Labsなどを挙げています。

概要

Chromeウェブストアの拡張機能は企業端末にも「便利ツール」として持ち込まれやすい一方で、拡張機能が閲覧中URLや参照元URLなどを外部送信するケースは過去から指摘されてきました。

今回のレポートは、その実態をスケールして検出するために自動化パイプラインを構築し、拡張機能が実行中に発生させる外向き通信の特徴から、URL漏えいを統計的にあぶり出しています。

どんな通信で漏れるのか

レポート内の例示では、閲覧URLが次のような形で外部送信され得ることが示されています。

  • URLをそのままパラメータとして送る(最も単純)

  • POSTボディに含める(難読化や圧縮を併用)

  • リクエストヘッダに埋め込む(監視の盲点になりやすい)

  • Google Analyticsなど計測基盤にページURLとして載せる(正規サービスを経由する形)

また、難読化(ROT系)や圧縮(LZ系)、暗号化(AES+RSAのハイブリッド)など「解析されにくい形」で送る例も含まれており、企業側の監視が単純なURL文字列検索だけだと取りこぼす可能性がある点は現実的な示唆です。

影響範囲

レポートが強調するのは「規模」です。287本という本数だけでなく、インストール総数約3,740万件と大量に影響が発生します。

その為、個人利用に留まらず企業環境にも波及し得ます。

URLは単なる閲覧先に見えても、SaaSの管理画面URL、社内ポータル、チケットシステム、クラウドストレージの共有リンク、検索クエリ、ケース番号など、個人・組織を特定し得る情報を含むことも指摘されています。

特に企業では、ゼロトラストやMFAを整備していても「どのサービスを使っているか」「どの画面を開いたか」といった行動履歴が外部に渡ると、攻撃者の偵察行動を大きく助けます。レポートも、標的型広告・プロファイリングに加え、企業スパイ、認証情報窃取への発展可能性を論点として挙げています。

調査手法

レポートでは、ChromiumベースのブラウザをDockerコンテナ内で動かし、通信をMITM(中間者)プロキシ経由で観測する仕組みを採用しています。

疑わしい拡張を見つけるための考え方は単純で、アクセスするURLの長さ(パラメータ量)を段階的に増やしたときに、拡張機能が外部へ送る通信量がそれに比例して増えるなら、URLそのもの(またはHTTPリクエスト)を送っている可能性が高い、というものです。

具体的には、通信先ドメイン・エンドポイントごとに「送信バイト数」と「投入したURL長の合計」の相関を取り、一定の閾値を超えるものを漏えい疑いとしてフラグ付けしています。一次スキャンで疑わしいものを抽出し、追加パターンで再検証する二段階方式を採用したと説明しています。全体として約930 CPU days相当の計算資源を要したとも記載されています。

この方式の利点は、拡張のソース解析だけに頼らず「実際の挙動」を広範囲に検査できる点です。一方、拡張の正当機能としてURL収集が必要なケース(例:安全判定、フィルタリング等)も混在し得るため、レポートでも自動検出後にログを手作業で確認し、偽陽性の除去を行ったとしています。

情報システム部門が取るべき対策

拡張機能は、EDRやメール対策の外側で情報が抜ける経路になりやすい一方、運用で止められる領域でもあります。実務としては次の優先度が現実的です。

  • 企業管理端末では拡張機能を原則ホワイトリスト運用にする
    例外申請と審査(用途、権限、プライバシーポリシー、提供元)を通し、勝手に入れられない状態にします。

  • Chrome/ブラウザを管理ポリシーで統制する
    会社支給ブラウザに限定する、同期・開発者モードの制御、許可拡張の固定などを行います。

  • 権限の強い拡張機能(閲覧履歴、全サイトの読み取り)を重点点検する
    権限要求が過剰なもの、用途と権限が釣り合わないものは排除対象にしやすいです。

 

出典

Spying Chrome Extensions: 287 Extensions spying on 37M users