ChromeやEdgeに18種類の悪意ある拡張機能 合計230万件以上インストール済み:セキュリティニュースアラート
Koi Securityは、ChromeやEdgeで合計230万件以上インストールされている認証済みの拡張機能18種が、実際にはユーザーを監視して情報を外部に送信する悪質なコードを含んでいたことが判明した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Koi Securityは2025年7月8日(現地時間)、GoogleおよびMicrosoftの公式ストアで「認証済み」とされていた拡張機能が、実際にはユーザーのブラウジング活動を監視し、外部のサーバに情報を送信していたことを明らかにした。
調査の結果、「Google Chrome」(以下、Chrome)や「Microsoft Edge」(以下、Edge)で合計230万件以上のインストール実績を持つ18種類の拡張機能が、実は悪意あるコードを含んでいたことが判明している。
ChromeやEdgeの公式ストアに18種類の不審な拡張機能 対処法を解説
調査の発端は、「Color Picker, Eyedropper ― Geco colorpick」という拡張機能とされ、初期のバージョンでは正常に動作していたが、後のバージョンアップにより不正なコードが追加されていることが確認された。このコードは利用者の閲覧中のURLを収集し、コマンド&コントロール(C2)サーバに送信する仕組みとなっていた。
この悪意のある拡張機能の調査を通じて、Koi Securityは「RedDirectionキャンペーン」と名付けた広範な不正活動を特定した。同キャンペーンでは表向きは絵文字キーボードや天気予報、動画速度コントローラー、ダークテーマ、音量ブースター、VPNなど、多様なカテゴリーのツールとして機能しつつ、裏で共通のC2インフラで監視機能を持つ拡張機能群が確認されている。
これらの拡張機能はそれぞれ異なるドメイン名を使用し、あたかも別個の運営主体が存在するように見せかけていたが、実際には同一の攻撃基盤によって管理されていた。悪意のあるコードは、背景処理で常時タブの更新を監視し、ユーザーのWebページ遷移に応じてデータを送信し、場合によってはリダイレクトを実行していた。
Koi Securityは感染の疑いがある利用者に次の対応を推奨している。
- 該当する全ての拡張機能の削除
- 保存されている追跡識別子を削除するためにWebブラウザのデータを消去
- マルウェア検出のためのシステム全体をスキャンする
- 機密性の高いWebサイトにアクセスした場合、不審なアクティビティーを監視
- 他の拡張機能に不審な動作がないかどうかの確認
RedDirectionキャンペーンに関係するChromeの拡張機能は次の通りだ。
- Emoji keyboard online(kgmeffmlnkfnjpgmdndccklfigfhajen)
- Free Weather Forecast(dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
- Video Speed Controller ― Video manager(gaiceihehajjahakcglkhmdbbdclbnlf)
- Unlock Discord ― VPN Proxy(mlgbkfnjdmaoldgagamcnommbbnhfnhf)
- Dark Theme ― Dark Reader for Chrome(eckokfcjbjbgjifpcbdmengnabecdakp)
- Volume Max ― Ultimate Sound Booster(mgbhdehiapbjamfgekfpebmhmnmcmemg)
- Unblock TikTok ― Seamless Access with One-Click Proxy(cbajickflblmpjodnjoldpiicfmecmif)
- Unlock YouTube VPN(pdbfcnhlobhoahcamoefbfodpmklgmjm)
- Color Picker, Eyedropper ― Geco colorpick(eokjikchkppnkdipbiggnmlkahcdkikp)
- Weather(ihbiedpeaicgipncdnnkikeehnjiddck)
RedDirectionキャンペーンに関係するEdgeの拡張機能は次の通りだ。
- Unlock TikTok(jdajogomggcjifnjgkpghcijgkbcjdi)
- Volume Booster ― Increase your sound(mmcnmppeeghenglmidpmjkaiamcacmgm)
- Web Sound Equalizer(ojdkklpgpacpicaobnhankbalkkgaafp)
- Header Value(lodeighbngipjjedfelnboplhgediclp)
- Flash Player ― games emulator(hkjagicdaogfgdifaklcgajmgefjllmd)
- Youtube Unblocked(gflkbgebojohihfnnplhbdakoipdbpdm)
- SearchGPT ― ChatGPT for Search Engine(kpilmncnoafddjpnbhepaiilgkdcieaf)
- Unlock Discord(caibdnkmpnjhjdfnomfhijhmebigcelo)
利用者が安全を確保するために拡張機能の導入時に十分な注意を払い、定期的な見直しとセキュリティチェックすることが求められている。Koi Securityは拡張機能のアップデートによる機能変化にも警戒するよう警告している。
関連記事
有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
インフォスティーラーの脅威が本格化しつつある中、組織と個人ともに改めてマルウェア対策を再考する必要がありそうです。ただ最近、「有料のウイルス対策ソフト不要説」がちらほらと出ているようです。一体どういうことでしょうか。
多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
国内でのフィッシング被害が激化する中、多要素認証を突破する攻撃も登場しています。こうした高度な攻撃に対処するには個人を含めた組織全体でセキュリティリテラシーを向上させる必要があります。ではそのためにはどうすればいいのでしょうか。
Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に
セキュリティ研究者が、Lenovo製PCのWindowsシステムフォルダにAppLocker回避に悪用可能な脆弱ファイルが存在すると報告した。ACL設定不備により標準ユーザーでも書き込みができ、悪用可能とされている。
Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。