Zscalerのセキュリティ研究チームは2026年6月24日、Microsoft Edge用の悪意ある拡張機能「Edgecution」を使ったランサムウェア侵入手法を発見・分析した報告書を公開しました。この手口はブラウザの拡張機能をランサムウェア攻撃の初期段階に組み込み、Chromeがもともと持っているNative Messaging APIを「橋渡し」として利用することでブラウザのサンドボックス制限を突破し、Pythonで書かれたバックドアを端末側で展開します。ZscalerはEdgecutionを、Payouts Kingsランサムウェア作戦と関係する初期侵入ブローカー(Initial Access Broker・IAB)が配備したものと判断しています。攻撃は偽のITサポートを装ったMicrosoft Teamsのメッセージから始まり、ソーシャルエンジニアリング・偽装サイト・ファイルヘッダ細工・ヘッドレスブラウザ実行という多段構造になっています。
サマリー
- 発表日:2026年6月24日(Zscaler脅威調査ブログ、BleepingComputer報道)
- 研究機関:Zscaler(クラウドセキュリティ企業)
- 悪意ある拡張機能名:Edgecution(「Edge Monitoring Agent」として偽装)
- 関連するランサムウェア:Payouts Kings(Edgecutionを展開するIABが関係)
- 攻撃の開始点:Microsoft TeamsでのITサポートなりすましメッセージ
- 初期誘導先:偽の「Outlook Updates Management Console」サイト
- ブラウザサンドボックス突破手法:Chrome Native Messaging APIを橋渡しに利用
- 端末側のペイロード:Python 3.13.3ベースのバックドア(シェルコマンド・PowerShell・ファイル操作・プロセス列挙等)
- 実行方式:ヘッドレスEdge(画面表示なし)でEdgecutionを起動
- 持続化:Edgeを起動するスケジュールタスクを作成
- IoC:ZscalerがC2サーバー・拡張機能ハッシュ・Pythonバックドアハッシュを公開
| 項目 | 内容 |
|---|---|
| 拡張機能名 | Edgecution(偽称:Edge Monitoring Agent) |
| 関連ランサムウェア | Payouts Kings(IABを経由) |
| 攻撃の起点 | Teams上のITサポートなりすましメッセージ |
| ブラウザサンドボックス突破 | Chrome Native Messaging APIを経由して端末側Pythonバックドアに命令を中継 |
| バックドアの機能 | シェルコマンド・PowerShell・Pythonコード実行・ファイル書き込み・プロセス列挙・システム情報収集 |
| 実行方式 | ヘッドレスEdge(ユーザーから見えない) |
| 配信方式 | ヘッダを細工したZIPアーカイブ(セキュリティ製品の検出を回避) |
| 持続化 | スケジュールタスクによるEdge自動起動 |
目次
何が起きたか
Zscalerは最近の攻撃で、Payouts Kingsランサムウェアに関連するIABと見られる脅威アクターが使用した新しい手口を確認しました。攻撃はMicrosoft Teamsを通じたソーシャルエンジニアリングから始まります。攻撃者はITサポート担当者になりすまし、偽の「Outlook Updates Management Console」サイトへ誘導します。このサイトにはアップデートパックや「ソフトウェア検証ツール」を装ったダウンロードボタンが設置されており、ボタンをクリックするとAutoHotKeyスクリプト・Windowsバッチスクリプト・PowerShellスクリプトのいずれかが実行されます。また一部のボタンは悪意あるスクリプトをクリップボードにコピーするほか、Microsoft 365やOutlookのパスワードを入力させるフォームを表示します。
Zscalerによれば、AutoHotKeyスクリプトまたはクリップボード経由でコンテンツが実行されると、環境の設定・ヘッダを細工して壊れた状態になっているZIPファイルのヘッダ修正・ファイルの展開・Edgeを実行するスケジュールタスクの作成が行われます。ZIPはヘッダが故意に壊された状態で配布されており、セキュリティ製品に有効なアーカイブとして認識させないための回避手法です。
防衛省・陸上幕僚監部広報室も事実を確認した今回の事案と同様、攻撃の最終的な実害(ランサムウェアの展開)は確認されていますが、Edgecutionがどの程度広範に使用されているかは引き続き調査中とされています。
Chrome Native Messaging APIを橋渡しにする手口の仕組み
今回のEdgecutionが採用した最も技術的に注目される手法が、Chromeのブラウザ拡張機能が持つNative Messaging APIの悪用です。
ブラウザの拡張機能は「サンドボックス」と呼ばれる隔離環境の中で動作します。
拡張機能からブラウザ外のシステムリソースに直接アクセスすることは通常できません。しかしChromeおよびChromiumベースのブラウザ(EdgeはChromiumベース)には、拡張機能がローカルのネイティブアプリケーションと通信するための公式APIとして「Native Messaging」が用意されています。これは例えばパスワードマネージャーの拡張機能がデスクトップアプリと連携してWebフォームへの自動入力を行うような正規の用途のために設計されたものです。
Edgecutionはこの仕組みを次のように悪用します。まず展開されたZIPの中には「extension」ディレクトリと「native」ディレクトリが含まれています。拡張機能(extensionディレクトリ)がブラウザ内でC2サーバーと通信して命令を受け取り、Native Messaging APIを通じてnativeディレクトリ内のバッチファイルを呼び出します。このバッチファイルがPythonバックドアを起動します。ブラウザのサンドボックスは「拡張機能がNative Messagingを通じて許可されたローカルアプリを起動する」という操作を止めることができないため、ここに突破口が生まれます。
Pythonバックドアの機能
端末側で動作するPythonバックドア(Python 3.13.3をZIPに内包)は拡張機能からNative Messaging経由で中継された命令を受け取り、以下のホストレベルの操作を実行できます。シェルコマンドの実行、PowerShellの実行、任意のPythonコードの実行、ホスト上へのファイル書き込み、実行中プロセスの列挙、システム情報の収集です。
Zscalerの技術分析では、両マルウェアコンポーネント(拡張機能・バックドア)ともに現時点では未使用のコマンドが含まれており、将来のバージョンで追加機能が有効化される可能性があると指摘しています。
Edgecutionはヘッドレス(画面表示なし)のEdgeブラウザで実行されるため、タスクバーやウィンドウにEdgeが表示されません。ユーザーから見えないまま端末上でC2通信とコマンド実行が継続します。また持続化のためにWindowsのスケジュールタスクが作成されており、再起動後も自動的にEdgeを起動してEdgecutionを活動させます。
なぜこの手法が注目に値するか
ブラウザ拡張機能は従来、情報窃取(クッキー・認証情報の横取り)や広告詐欺(アドフラウド)に悪用されてきました。しかしEdgecutionのケースでは、拡張機能がマルウェアの一部として端末側の実行エンジンと通信する「橋渡し役」として使われており、従来とは異なるアーキテクチャを持つ攻撃手法です。
ブラウザベースのEDR回避という観点でも注目に値します。端末側のEDRはPythonプロセスやスケジュールタスクを怪しむ可能性がありますが、Edgeがスケジュールタスクで起動すること自体は正規の動作に見えます。拡張機能の通信もEdgeのHTTPS通信として行われ、C2通信の特定が難しくなります。
Zscalerは「この手法はランサムウェアに関連した脅威アクターの高度化を示しており、侵害したホストへの持続化を可能にする」と評価し、組織に対してブラウザ拡張機能のモニタリング強化とNative Messagingホスト設定への厳格な管理を推奨しています。
情報システム部門が取るべき対応
TeamsやSlackを通じたITサポートなりすましメールを起点とするソーシャルエンジニアリング攻撃への対策として、ITヘルプデスクが外部サイトへのアクセスを指示することは原則ないと全社に周知してください。「アップデートインストールのために○○サイトにアクセスしてください」という指示が届いた場合は、社内の正規ITチャネルで確認する手順を明文化することが有効です。
ブラウザ拡張機能の管理として、Chromiumベースブラウザ(Edge・Chrome)の拡張機能インストールをグループポリシー(GPO)またはMDMで管理し、承認済みリスト外の拡張機能インストールを制限することを検討してください。現在インストールされている全拡張機能の定期的な棚卸しも推奨します。
Native Messagingホスト設定の監視として、Windowsレジストリのネイティブメッセージングホストの登録(HKCU\Software\Google\Chrome\NativeMessagingHosts および HKCU\Software\Microsoft\Edge\NativeMessagingHosts)への不審なエントリ追加を監視するルールをSIEM・EDRに設定してください。
スケジュールタスクの監視として、ユーザー権限で作成されたEdgeやブラウザを起動するスケジュールタスクを異常として検出するルールを整備してください。
ZscalerはEdgecutionのIoC(C2サーバーのドメイン・IP、拡張機能ハッシュ、Pythonバックドアハッシュ)を報告書で公開しています。詳細はZscalerのブログ(リンクは出典参照)で確認し、自社のセキュリティ製品にシグネチャを追加してください。
FAQ
Q. この攻撃はEdgeのみが標的ですか?Chrome等のChromiumベースブラウザも対象になりますか?
A. Native Messaging APIはChromium共通の機能です。今回の攻撃はEdgeを使用していますが、技術的に同じ手法はChromeやBraveなどのChromiumベースブラウザにも適用可能です。Zscalerの報告ではEdgeを使った事例として確認されています。
Q. 悪意ある拡張機能をインストールさせないためにはどうすればいいですか?
A. エンタープライズ向けにはグループポリシー(ExtensionInstallBlocklist・ExtensionInstallAllowlist)でインストール可能な拡張機能をホワイトリスト管理することが最も効果的です。また拡張機能をMicrosoft EdgeアドオンストアまたはChrome Web Storeからのみインストールできるよう制限し、サイドロード(外部ファイルからの直接インストール)を禁止することも有効です。
Q. Payouts Kingsランサムウェアとはどのような脅威グループですか?
A. Payouts Kingsはランサムウェア作戦を展開するグループで、Edgecutionを展開したIABがこのグループと関係するとZscalerが報告しています。2026年6月時点でIABが独自の侵入手法を開発・使用しており、高度化が進む脅威アクターのひとつです。
出典
- Zscaler ThreatLabz「Payouts King Ransomware Initial Access Broker Deploys New Edgecution」(2026年6月24日)
当サイト関連記事
- VSCode に1クリックOAuthトークン窃取のゼロデイ ─ Microsoft認証済みの拡張機能を悪用したサプライチェーン攻撃
- Chrome V8 ゼロデイCVE-2026-11645 ─ 高リスクの型混乱バグが悪用前に修正
- macOS ClickFix DMG経由のAMOS Infostealerが App-Bound Encryptionを回避してChrome認証情報を窃取
- 偽PostCSS npmパッケージがWindows RATをドロップしChromeのApp-Bound Encryptionをバイパスして認証情報を窃取
関連記事
100万超ダウンロードされている、React Ariaのnpmにマルウェアが組み込まれている-サプライチェーン攻撃か
React Native、開発用CLIに重大な脆弱性-CVE-2025-11953
ロンドンのNHS病院、2024年のランサムウェアによるサイバー攻撃で患者が死亡
Adobe、Acrobat/Readerのゼロデイ 脆弱性(CVE-2026-34621)を緊急 修正
Adobeのゼロデイ 脆弱性を悪用したサイバー攻撃の兆候
Microsoft Edgeがブラウザ起動時に全パスワードを平文でRAMに展開 Microsoftは「仕様通り」として修正を拒否
中国APTグループがEDR 監視外のEgnyte・pfSense・Synology NASにBRICKSTORMを展開
イランのハーグ島とは-イラン原油輸出の心臓部が中東危機とホルムズ海峡封鎖リスクを左右する理由
Microsoft Entra「Agent ID Administrator」ロール 範囲逸脱でテナント全体の乗っ取りが可能-AIエージェント管理ロールがService Principal奪取の踏み台に
