1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 最大600万ユーザーに影響か-Chrome 拡張機能に潜むユーザートラッキングコード

最大600万ユーザーに影響か-Chrome 拡張機能に潜むユーザートラッキングコード

セキュリティニュース

投稿日時: 更新日時:

最大600万ユーザーに影響か-Chrome 拡張機能に潜むユーザートラッキングコード

2025年4月、Secure AnnexのJohn Tuckner氏による調査により、合計57本に及ぶChrome拡張機能が、ユーザーのクッキーや閲覧情報、検索結果の改変、スクリプトの実行といった危険な動作を行っていたことが明らかになりました。これらはすでに約600万人のユーザーにインストールされていたとされています。

特徴は「非公開」拡張:検索では見つからない、だが数十万ユーザーが利用

問題の始まりは「Fire Shield Extension Protection」という非公開拡張機能でした。Chrome Web Store上では検索で見つからず、直接のURLでのみアクセスできる形式で公開されており、この非公開拡張機能は誰にも見つからないにもかかわらず30万人以上が利用していました。

通常、こうした拡張機能は、社内ツールや開発中のアドオンといったプライベートソフトウェアです。しかし、脅威アクターは、広告や悪意のあるサイトを通じて積極的に拡散させながら、検出を逃れるためにこれらの拡張機能を利用している可能性があります。

さらに、この拡張機能はユーザーがインストールしている他の拡張の権限チェックを装う一方で、過剰なパーミッション(すべてのURLでの通信傍受、クッキーアクセス、タブ操作、スクリプト実行など)を要求していました。

また、この拡張のコードには、https://fireshieldit.com/api/fire/notiへの外部通信や、ユーザー設定に応じた監視レベルの切り替え(例:”vLvl”: 5でトラッキングを強化)など、リモートで行動を変えるC2(コマンド&コントロール)的な構造が含まれていました。

調査の進展:57本の拡張に共通する危険な構造

Tuckner氏が行った静的・動的解析およびパーミッションのハッシュ(permhash)の比較から、35本から57本へと同様のリスクを持つ拡張機能が次々と特定されました。

以下ダウンロードが多い拡張機能

  1. Cuponomia – クーポンとキャッシュバック (ユーザー数70万人、一般公開)
  2. Fire Shield Extension Protection (ユーザー数30万人、非公開)
  3. Total Safety for Chrome™(ユーザー数 300,000 人、非公開)
  4. Protecto for Chrome™(ユーザー数20万人、非公開)
  5. Browser WatchDog for Chrome (ユーザー数 200,000 人、公開)
  6. Securify for Chrome™(ユーザー数 200,000 人、非公開)
  7. Browser Checkup for Chrome by Doctor (ユーザー数20万人、公開)
  8. Choose Your Chrome Tools(200,000 ユーザー、非公開)

これらの拡張機能は互いに密接な関係があり、その多くは広告ブロック、拡張機能の保護、検索結果の改善、プライバシー保護といった何らかの機能を実際に提供していると主張していますので、これらの拡張機能はウェブストアで入手可能となっていると考えられます。

一方で拡張機能はそれぞれ異なりますが、ウェブストアで主張されている目的のためのコードはごくわずかか、もしくは全く存在しない場合が多いとしました。

中には、“Cuponomia”のような一見正当な拡張機能も含まれており、これらの拡張機能には以下のような共通項があります。

  • 共通するドメイン(例:unknow.com、fireshieldit.com)への通信

  • 同一のパーミッション構造(permhashが一致)

  • ユーザー設定による挙動の切り替え

  • スクリプトの外部読み込みと実行、クッキー収集、認証情報の傍受など

さらに、Secure Annexの自動分析やYARAシグネチャ検出により、スパイウェア的動作の明確な兆候が多数確認されています。

具体的なリスクと企業への影響

これらの拡張機能は、以下のようなリスクを企業にもたらす可能性があります。

  • 社内ユーザーのWebアプリ認証情報が傍受される

  • セッションハイジャックやログイン状態の再現

  • 閲覧履歴や使用中サービスの外部への漏えい

  • 企業ドメインに関する情報のマーケティング・広告ネットワークでの利用

特にSaaSアプリケーションを活用している企業では、拡張機能経由でSSOセッションやアクセストークンが漏えいする可能性があるため、注意が必要です。

今後の対応と推奨アクション

本件を受け、Googleも現在調査を進めており、一部の拡張はすでにChrome Web Storeから削除されていますが、多くが依然として公開中であり、対策が急務です。

情報システム部門として、以下のアクションを推奨します。

  1. 57本の拡張リストを基に社内使用状況を棚卸しSecure Annex提供のIOCリスト活用

  2. 疑わしい拡張の即時アンインストール

  3. 影響が及ぶ可能性のある端末のログ調査・Cookieクリア

  4. 全社的な拡張機能のポリシー制御の強化(Google Workspaceなどでのブロック設定)

  5. パスワード変更・多要素認証(MFA)の徹底

また、今後同様の事例が発生する可能性を考慮し、ブラウザ拡張の統制ガバナンスの強化が求められます。

まとめ

本件は、「企業で使用されている非公開拡張機能が実はスパイウェアだった」という深刻なケースであり、拡張機能のセキュリティリスク管理が改めて問われています。

Secure Annexでは対象の拡張が検知された顧客に対し通知を行っており、企業が拡張機能の脅威に対しどのように備えるべきか、その一つの教訓となる事案です。Chromeの拡張機能に関しても、アンチウイルスソフトやEDRと同様に「信頼できるものだけを許可する」体制が、これからのスタンダードになるでしょう。

関連記事

クラウドストライクがAdaptive Shieldを3億ドルで買収クラウドストライクがAdaptive Shieldを3億ドルで買収 Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467) ランサムウェア 攻撃 グループが Google Chrome に保存された認証情報を盗むランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む Proofpointの設定を悪用され何百万通のフィッシングメールが送信されるProofpointの設定が悪用され何百万通のフィッシングメールが送信される ランサムウェアとサイバー攻撃に潜む EDR 回避ツール「EDRKillShifter」の脅威ランサムウェアとサイバー攻撃に潜む EDR 回避ツール「EDRKillShifter」の脅威 Arc ブラウザのWindowsリリースを狙った偽ダウンロードサイトが観測され、マルウェア感染の恐れArc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていたVSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた Twitter(X)のユーザー 28億件分の情報漏洩の可能性-元従業員による内部犯行かTwitter(X)のユーザー 28億件分の情報漏洩の可能性-元従業員による内部犯行か