セキュリティ企業LayerX Securityは2026年4月20日、Chrome Web StoreおよびMicrosoft Edge アドオンストアに掲載されているTikTok動画ダウンローダーを装った悪意ある拡張機能群の調査レポートを公開しました。「StealTok」と名付けられたこのキャンペーンは少なくとも12本の拡張機能が関与しており、世界で13万人以上のユーザーが被害を受けたと報告されています。
何が起きたか
問題の拡張機能群は「TikTok動画をウォーターマーク(透かし)なしでダウンロードできる」という実用的な機能を実際に提供しながら、同時にユーザーのブラウジング行動の追跡・デバイスフィンガープリントの収集・セッショントークンの窃取を行っていました。
特に悪質な点は、インストール後6〜12か月間は正規ツールとして正常に動作し続け、十分なユーザー数と信頼を獲得した後に初めて悪意ある機能を有効化するという手口です。この「長期潜伏→後から起動」の設計により、ストアの審査プロセスと評判システムを巧みに利用しました。一部の拡張機能はストアの「Featured(おすすめ)」バッジを取得しており、ユーザーからの信頼をさらに高めていました。
技術的な手口:デバイスフィンガープリントと動的リモート設定
LayerXの調査によれば、これらの拡張機能はすべて共通のコードベース(Manifest V3アーキテクチャ)を持つクローンまたは軽微な改変版であり、同一の脅威アクターによって運営されていると判断されています。
収集されるデータは単なる閲覧履歴にとどまりません。特に問題視されているのが、タイムゾーン・言語設定・デバイスのバッテリー残量といった「高エントロピーデータ」の収集です。これらの組み合わせは、ユーザーごとに固有のデジタル指紋(デバイスフィンガープリント)を生成することを可能にし、異なるWebセッションをまたいだ長期的な追跡を実現します。また、入力内容の記録やログイントークンの窃取にも対応しているとされています。
さらに重要な技術的特徴が、動的リモート設定(Remote Configuration)機能です。インストール後に外部サーバーから新しい指示を受け取る仕組みを持っており、これによりストアの審査時点では検出されない悪意ある機能を後から有効化できます。
「いたちごっこ」の持続モデル
LayerXはこのキャンペーンを単なるマルウェアキャンペーンではなく、持続的な運営モデルと分析しています。
攻撃者が採用しているサイクルは以下のとおりです。まず問題のない拡張機能またはわずかに疑わしい拡張機能をアップロードし、ユーザーと信頼を獲得します。次に、アップデートを通じて追加機能を導入し、フラグを立てられたり削除されたりしたら、新しい名称でクローンとして素早く再登録します。
この構造が「一つが削除されても他が残り、新しいものが素早くアップロードできる」という耐性の高いエコシステムを生み出しています。調査時点で一部の拡張機能は削除済みですが、約12,500ユーザーが現在もアクティブに利用しており、まだ削除されていない拡張機能が存在しています。
確認されている拡張機能の一覧
| 拡張機能ID | 名称 | インストール数 | ブラウザ | 現在の状態 |
|---|---|---|---|---|
| injnjbcogjhcjhnhcbmlahgikemedbko | TikTok Downloader – Save Videos, No Watermark | 3,000 | Chrome | 稼働中 |
| ehdkeonoccndeaggbnolijnmmeohkbpf | TikTok Video Downloader – Bulk Save | 1,000 | Chrome | 稼働中 |
| pfpijacnpangmkfdpgodlbokpkhpkeka | Tiktok Downloader | 353 | Chrome | 稼働中 |
| cfbgdmiobbicgjnaegnenlcgbdabkcli | TikTok Video Downloader – Save Without Watermark | 4,000 | Chrome | 稼働中 |
| mpalaahimeigibehbocnjipjfakekfia | Mass Tiktok Video Downloader | 77 | Edge | 稼働中 |
| kkhjihaeddnhknninbekkhaklnailngh | TikTok Video Downloader – Save Without Watermark | 9 | Edge | 稼働中 |
| kbifpojhlkdoidmndacedmkbjopeekgl | TikTok Downloader – Save Videos, No Watermark | 47 | Edge | 稼働中 |
| jacilgchggenbmgbfnehcegalhlgpnhf | Mass Tiktok VideoDownloader | 4,000 | Chrome | 稼働中 |
| oaceepljpkcbcgccnmlepeofkhplkbih | Mass Tiktok Video Downloader | 30,000 | Chrome | 削除済み |
| ilcjgmjecbhpgpipmkfkibjopafbcag | TikTok Downloader – Save Videos, No Watermark | 10,000 | Chrome | 削除済み |
| kmobjdioiclamniofdnngmafbhgcniok | TikTok Video Keeper | 60,000 | Chrome | 削除済み |
| cgnbfcoeopaehocfdnkkjecibafichje | Video Downloader for Tiktok | 20,000 | Chrome | 削除済み |
今すぐ確認・対応すべきこと
上記IDの拡張機能をインストールしている場合は無効化ではなく完全削除してください。
無効化した状態でも過去に収集されたデータは残る可能性があります。
これらの拡張機能が入力内容の記録やログイントークンの窃取に対応していることから、当該拡張機能をインストールしていた期間中に使用したサービスのパスワードをメール・銀行・業務システムを中心に変更することを推奨します。また、ブラウザに保存されている支払い情報・個人情報が不正に参照された可能性がある点も念頭に置いてください。
企業の情報システム部門・セキュリティ担当者へ
本キャンペーンが示すのは、「Featuredバッジを持つ公式ストアの拡張機能でも信頼できない」という現実です。従業員が業務端末に個人利用目的の拡張機能をインストールすることを許可している場合、本件と同様のリスクにさらされています。ブラウザ拡張機能のインストールポリシーの見直しと、インストール済み拡張機能の棚卸しを行ってください。
参考情報
関連記事
VSCodeの拡張機能を標的とするサイバー攻撃-12件の悪性コンポーネントを確認
オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩
TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃
VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)
Microsoft、イスラエル軍へのクラウド提供を一部停止-Azureでのパレスチナ人大量監視を問題視
ChatGPTの拡張機能を装うChrome 拡張機能、セッショントークン窃取でアカウント乗っ取り
F5 BIG-IPの脆弱性 PoCがリリース(CVE-2025-20029)
TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口
ブロードバンドタワー、サイバー攻撃の被害 調査結果を公表-c9 Flex Vシリーズ仮想サーバ6台が侵害
