拡張機能が企業を裏切る日｜気づかぬうちに始まる情報流出

Webブラウザの拡張機能は、業務効率化や利便性向上を目的に多くの企業や個人ユーザーに利用されています。その一方で拡張機能は、ユーザーの閲覧履歴、ログインセッション、フォーム入力内容など、非常に機密性の高い情報にアクセス可能な存在です。そのため悪意ある第三者にとっては格好の攻撃経路にもなり得ます。

2025年7月、こうした拡張機能の脆弱性を突いた「Red Direction」と呼ばれる大規模な攻撃キャンペーンが発覚しました。この事件は、私たちが日常的に使っている便利なツールがある日突然、情報を盗み取るスパイに変貌するという現実を突きつけたものです。本記事ではこの攻撃の実態や被害拡大の背景、そして企業や個人が講じるべき具体的な対策について詳しく解説します。

攻撃者は、拡張機能を無害なコードでリリースし、Google や Microsoft の認証バッジを獲得、公式ストア内での信頼を得た後に、アップデートで悪意のあるコードを追加する手法を取りました。これにより Google や Microsoft の審査プロセスを回避し、静かに感染を拡大することができたのです。たとえば「Geco Color Picker」は元々、画面上の色を取得しコード化するツールとして提供されていましたが、後のアップデートでスパイ機能が追加され、不正な情報取得に悪用されました。

アップデートで追加された悪意のあるコードは、自動アップデート機能を活用してユーザーのブラウザに侵入し、バックグラウンドで動作する仕組みが実装されていました。具体的には、ブラウザのタブ動作を監視し、ユーザーが訪問するすべてのURLを収集して攻撃者のコマンド＆コントロール（C2）サーバーに送信する仕組みです。さらに、C2サーバーからの指示に基づいてリダイレクトが実行され、フィッシングサイトへの誘導や偽のソフトウェア更新ページの表示が可能になっていました。

今回の「Red Direction」キャンペーンは、同様の手法を使用した18種類の拡張機能を通じて約230万人に影響を与えました。これらの拡張機能は、表向きは正常な機能を提供していましたが、その裏ではユーザーのウェブブラウジング活動を監視し、大規模なブラウザ乗っ取り操作が可能となっていました。

今回のキャンペーンで悪用された拡張機能は、前述の通り全18種類に及びます。その多くが一見して便利そうな機能を装っており、ユーザーの疑念を抱かせにくい内容ばかりでした。

具体的には、「Color Picker, Eyedropper - Geco colorpick」や「AdBlock Plus」といったカラーピッカーや広告ブロッカー、「Tab Manager」「Note Taker」などの日常的な作業効率化ツール、「Password Generator」や「Web Translator」のような実用的な補助機能が含まれていました。

さらに Microsoft Edge 向けには、「Video Ad Skipper」や「Shopping Assistant」、「Price Tracker」などの買い物支援系や動画スキップ機能を謳う拡張も報告されています。これらは、すでに数万〜数十万回以上インストールされていた実績を持ち、レビューも一見正当なものに見えるよう工夫されていました。心当たりがある場合は、早急に拡張機能の見直しとアンインストールをおすすめします。

なお、削除方法やキャッシュクリアなどの手順については、以下の記事を参照してください。被害を最小限に食い止めるためにも、早めの確認と対処を強く推奨します。

近年、ブラウザ拡張機能を悪用したマルウェアは上記に示した Google Chrome や Microsoft Edge 以外のブラウザにも広がりを見せています。特に Firefox、Safari、Brave といった多様なエコシステムにおいて、ユーザーを狙った悪性拡張やセキュリティの脆弱性が確認されています。

2025年4月、Firefox のアドオンストアで MetaMask や Coinbase Wallet を装った偽拡張機能「FoxyWallet」系が40種類以上確認されました。これらは一見すると正規の暗号資産ウォレットのように見えるものの、実際には秘密鍵やシードフレーズ（暗号資産のアクセスに必要な英単語の文字列）を盗む目的で設計されており、盗んだ情報を外部サーバーに送信する挙動が埋め込まれていました。

さらに、これらの拡張機能は大量の偽レビューを使って信頼性を装っていました。高評価レビューに騙されてインストールしたユーザーが資産を失うケースが相次いで報告されています。

Apple の Safari ブラウザでは、Chrome 拡張のような大規模な公式ストアは存在しないものの、偽の Safari 拡張や偽ソフトウェア（例：Flash Player）インストーラーを通じたマルウェア配布が断続的に報告されています。特に macOS 環境では「プロファイル」や「機能拡張」を装ってリダイレクト広告や偽検索エンジンへの書き換えを行う手口が使われ、一部では Safari の検索バーをハイジャックする形式のAdware（例：Search Marquis）が確認されています。

Apple の XProtect などの保護機能は一定の効果を発揮していますが、インストール時にユーザーの許可を求める設計が悪用されるケースもあるため、注意が必要です。

プライバシーを重視することで知られる Brave ブラウザでも、拡張機能やサードパーティスクリプトが悪用される可能性は否定できません。たとえば、ある拡張機能が Chrome Web Store で高評価を得た後、アップデートを通じて悪意あるコードを追加し、ユーザーのブラウジングデータを外部サーバーに送信する動作に変化した事例も報告されています。

また、Brave の広告ブロック機能（Brave Shields）自体にも注目する攻撃者もいます。過去にはサイトのオリジン表示に関する脆弱性（CVE-2025-23086）を突いた攻撃により、悪意あるWebサイトが正規の広告やコンテンツのように偽装されるケースもありました。このような攻撃では、ユーザーが本物と偽物の広告を誤認し、悪質なコンテンツに誘導されるリスクが生じます。

Brave は拡張機能のアローリストやセキュリティ監視を強化する取り組みも行っていますが、拡張機能の自動更新が無効化できない設計などにより、ゼロデイ的な変化には即時対応が難しいのが実情です。

企業内でのブラウザ拡張機能のリスクを最小限に抑えるためには、そもそもインストールの可否をコントロールできる体制づくりが重要です。Microsoft Edge や Google Chrome では、グループポリシー機能を利用することで特定の拡張機能のみを許可（Allowlist）または禁止（Blocklist）することができます。これにより「危険な拡張機能がそもそも使われない」状態を実現することが可能です。さらに Google Workspace や Microsoft 365 の管理コンソールを活用すれば、組織全体の Google Chrome や Microsoft Edge の拡張機能を一括管理でき、従業員が不用意に拡張機能を追加できないよう制限することができます。

また、こうした制御ルールを「拡張機能管理ポリシー」として社内規程に明文化し、導入時の申請制度や機能のレビュー制度を導入したり、定期的なアローリストの更新などを体制に組み込むことで、属人的な管理から脱却できます。明確なルール設計と技術的制御の組み合わせが、ブラウザ拡張機能のリスクを構造的に下げる鍵となります。

拡張機能は便利な一方で、知らずに悪質なものを入れてしまうリスクもあります。特にスパイ型のように外部と通信し、業務情報やログイン情報を抜き取るタイプの拡張機能は、見た目だけでは判断が難しく、人気や評価だけを信じるのは危険です。そのため「新しい拡張機能は原則インストールしない」「業務に必要な場合は事前に社内の承認を得る」といったルールを定め、従業員が独断で判断しない体制をつくることが大切です。あわせて「もし情報が抜かれたら、どのような影響が出るのか」を具体的に伝えることで、危機意識を育てることもできます。教育は以下の内容を押さえるようにすると効果的です。

スパイ型の拡張機能は、ログインフォームに入力したIDやパスワード、Webサービスのセッション情報（Cookieなど）を盗み取ることがあります。これにより、社内システムや取引先システムに外部の第三者が不正アクセスする可能性が高まります。特にSaaSやクラウドサービスのようにWebブラウザ経由で使うサービスは狙われやすく、気付かないうちに内部情報が抜かれ続けるといったケースも起こり得ます。

ブラウザの拡張機能が「閲覧中のWebページの内容を読み取る」権限を持っていると、業務中に入力した顧客情報・見積書・機密文書などがそのまま外部に送信されてしまう恐れがあります。また、個人情報保護法などの規制にも抵触し、漏えいが発覚すると、企業の信用低下や行政処分、損害賠償といった重大な問題につながります。

一部の拡張機能は、感染端末を経由して他の端末や社内ネットワークに侵入するための情報収集を行うこともあります。これはEmotetや情報窃取型マルウェアの初動にも近く、後続のマルウェア感染やランサムウェア攻撃の足がかりになるケースも報告されています。

企業のITガバナンスを補完する手段として、ブラウザ拡張機能の可視化を支援するツールの活用が有効です。Elastic Stack と osquery を連携することで、社内端末にインストールされた Google Chrome 拡張機能の一覧を取得し、不審な挙動の検知と可視化が可能になります。

拡張機能は一見ブラウザ内で完結しているように見えますが、実際には端末のユーザープロファイルに紐づくファイルシステムに格納されており、osquery を用いた端末レベルの監視によってその状態を取得できます。Elastic Stack では usersテーブルと chrome_extensions テーブルをJOINしたクエリを用いて、ユーザー別に拡張機能の情報（名称、バージョン、権限、インストール先プロファイルなど）を収集します。

この情報をもとに、「すべてのHTTPSサイトへのアクセス権限」など過剰な権限を持つ拡張機能の特定やインストールされたバージョンに既知の脆弱性が含まれていないかの検証ができます。また、Elastic Stack のSIEM機能を活用することで、収集されたクエリ結果に対し異常検知ルールを設定し、悪意ある拡張機能が導入された場合にアラートを発生させる仕組みも構築できます。

さらに、定期的にクエリを実行してデータを蓄積することで、拡張機能のバージョン変更履歴を時系列で追跡できるため、過去に問題なかった拡張機能が後に改ざんされた場合にも検知可能です。

これらの監視結果は Elastic Stack の可視化機能を通じて誰でも参照できるため、専門知識がない管理者でも、リスクのある拡張機能の導入・変更をタイムリーに把握したうえで対応を検討する環境が整います。

最近では、企業向けのブラウザセキュリティソリューションが登場しており、社員が日常的に使用するブラウザ環境を対象に、セキュリティ監視を強化する機能を提供しています。これらの製品は、インストール済みの拡張機能を自動的に検出し、リスクスコアの算出・評価を通じて、不要または危険な拡張機能をブロックすることができます。

また、ブラウジングセッション中のイベントを継続的に分析し、フィッシングや情報漏えいにつながる不審な挙動を検知する機能も備えています。特にSaaSの利用が広がり、ブラウザが新たなセキュリティ境界となっている現状において、こうしたツールは既存のEDRではカバーしきれない領域を補完する手段として注目されています。

ただし、これらのソリューションにも限界があり、たとえば元々正常だった拡張機能が後のアップデートによって悪意あるコードに変化する「スパイ化」のようなケースでは、変化直後に検知できない場合があります。バージョン管理や権限変化の追跡によってリスクを軽減することは可能ですが、ゼロデイ的な挙動変化に対しては、完全な防御は難しいのが実情です。

さらに、EDR（Endpoint Detection and Response）製品を併用することで、拡張機能を起点とした攻撃に対する検知・対応力が高まる可能性があります。EDR製品の中には、拡張機能そのものを直接検出対象としなくても、拡張機能を経由して起動されたプロセスや不正なスクリプトの実行、異常な外部通信といった後続の不審な振る舞いをリアルタイムで監視し、悪意ある挙動が確認された場合にはブロックやアラートを実行できるものもあります。

このように、EDRは可視化ツールやシグネチャベースの対策と比べ、未知の脅威や振る舞い検知に優れており、製品によっては自動対応やフォレンジック分析にも対応しています。特にセキュリティ専任者がいない中小企業では、こうした機能が初動対応の助けになるケースも多いので、導入をおすすめします。