ChromeとEdgeで430万人が感染、“Google正規の拡張機能”がマルウェアだった

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [ChromeとEdgeで430万人が感染、“Google正規の拡張機能”がマルウェアだった](https://atmarkit.itmedia.co.jp/ait/articles/2512/16/news049.html)【＠IT】(2025年12月16日) --- > [!NOTE] この記事の要約（箇条書き） - セキュリティベンダーKoi Securityの調査によると、430万人のGoogle ChromeおよびMicrosoft Edgeユーザーが「ShadyPanda」と名付けられた脅威アクターによるマルウェアに感染しています。 - 攻撃は、5～6年間正規に運用され、Googleによって「Verified」および「Featured」と認定されていたブラウザ拡張機能（例：Clean Master）を悪用して行われました。 - 2024年半ばにこれらの拡張機能が悪意のあるアップデートを配布し、ユーザーのブラウザにリモートコード実行フレームワークをインストールしました。 - マルウェアはWebサイト訪問、閲覧履歴、ブラウザフィンガープリント、Cookieなどのユーザーデータを収集し、暗号化して外部に送信します。セキュリティ回避機能や中間者攻撃の能力も持っています。 - ShadyPandaは、他にインストール数が400万件を超える5つのEdge向け拡張機能（例：300万件の「WeTab New Tab Page」）も公開しており、これらは広範なスパイウェアとして機能します。 - Koi Securityは、ブラウザ拡張機能の公開後の継続的な監視とリスク評価の必要性を指摘しています。 > [!NOTE] 要約おわり --- ## ChromeとEdgeで430万人が感染、“Google正規の拡張機能”がマルウェアだった：悪意あるアップデートを配布 ChromeとEdgeで提供されているブラウザ拡張機能で、430万人のユーザーがマルウェアに感染していることが明らかになった。 2025年12月16日 13時00分公開 \[＠IT\] この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。　セキュリティベンダーのKoi Securityは2025年12月1日（米国時間）、同社が「ShadyPanda」と名付けた脅威アクター（攻撃者）によるマルウェア攻撃キャンペーンの調査結果を発表した。ShadyPandaはブラウザ拡張機能を悪用して攻撃を実行し、430万人の「Google Chrome」および「Microsoft Edge」ユーザーが感染している。　Koi Securityは、ShadyPandaの一連の攻撃を4つのフェーズに分類した上で、フェーズ3とフェーズ4の攻撃の重大性を強調している。特にフェーズ3では、5～6年間にわたって正規に運用されていたブラウザ拡張機能を通じて、マルウェアが自動更新で配布された。 ## Google正規の拡張機能がマルウェアだった　この攻撃では、インストール数が20万件を超える「Clean Master」を含む、ChromeおよびEdge向けの拡張機能5種が悪用された。これらの拡張機能は、Googleから「Verified」（認定済み）とされ、「Featured」（おすすめ）のバッジも付けられていた。5～6年にわたって正規の拡張機能として運用されていたが、2024年半ばに“武器化”された。 [![画像](https://image.itmedia.co.jp/ait/articles/2512/16/ait_koi01.png)](https://image.itmedia.co.jp/l/im/ait/articles/2512/16/l_ait_koi01.png) 攻撃に使用された「Clean Master」（提供：Koi Security）　ShadyPandaは、ChromeおよびEdgeに搭載された信頼性の高い自動更新メカニズムを悪用し、これらの拡張機能に対して悪意あるアップデートを配布した。これにより、両ブラウザは同一のマルウェアに感染することになった。　感染したブラウザは、リモートコード実行用のフレームワークを実行し、1時間ごとに新たな命令を確認する。任意のJavaScriptコードをダウンロードして、ブラウザの完全なアクセス権限で実行しているという。　マルウェアはWebサイト訪問を監視し、閲覧履歴や完全なブラウザフィンガープリント（ユーザーエージェント、言語、プラットフォーム、画面解像度、タイムゾーンなど）を収集し、暗号化して外部に送信している。セキュリティツールによる解析を回避する機能も備え、中間者攻撃を行うことも可能だという。　ShadyPandaはこれらの機能を1時間ごとに更新できる。攻撃に使用された拡張機能は最近、ChromeとEdgeのマーケットプレースから削除されたが、攻撃のためのインフラは、全ての感染ブラウザに依然として展開されている。 ## 400万ユーザーを標的にスパイウェアを展開　ShadyPandaは2023年ごろに、フェーズ3の攻撃に使用したものとは異なる5つのEdge向け拡張機能を公開。その合計インストール件数は400万件以上に達している。　この5つの拡張機能のうち、2つは包括的なスパイウェアであり、その一つである「WeTab New Tab Page」はインストール件数が単体で300万件に上る。生産性ツールを装っているが高度な監視プラットフォームとして機能している。 [![画像](https://image.itmedia.co.jp/ait/articles/2512/16/ait_koi03.png)](https://image.itmedia.co.jp/l/im/ait/articles/2512/16/l_ait_koi03.png) 生産性向上拡張機能を装うスパイウェア「WeTab New Tab Page」（提供：Koi Security）　WeTabは広範なユーザーデータを収集し、17個の異なるドメインに送信する。これらのデータには、訪問した全てのURL、検索クエリ、マウスクリック、ページインタラクションデータ、Cookieへのアクセスなどが含まれる。　ShadyPandaは、これらの拡張機能に更新プログラムをいつでもプッシュでき、フェーズ3と同様のRCE（リモートコード実行）バックドアを設置することも可能だ。 ## 拡張機能の挙動の監視　Koi Securityは、フェーズ1～4の攻撃キャンペーンにはいずれも、コード署名の類似、インフラの重複、時間とともに進化する同一の難読化技術が見られると報告している。　ブラウザ拡張機能のマーケットプレースは、公開前に拡張機能を審査するが、公開後も継続的に監視するわけではない。Koi Securityは、拡張機能がインストール後に何を行うかを監視、分析し、リスク評価を行う必要性を指摘している。 Special PR [印刷／保存](https://id.itmedia.co.jp/isentry/contents?sc=0c1c43111448b131d65b3b380041de26f2edd6264ee1c371184f54d26ab53365&lc=7d7179c146d0d6af4ebd304ab799a718fe949a8dcd660cd6d12fb97915f9ab0a&return_url=https://ids.itmedia.co.jp/print/ait/articles/2512/16/news049.html&encoding=shift_jis&ac=e8cb9106baa7e37eb9feb877b9f0a27ddaf48b95ba02da49cbb3a8247ee7fec4&cr=e9fd42802bc22856808963077023568339063544b05e5a8646e62c02a898e0fd "この記事を印刷する") ## アイティメディアからのお知らせ - [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL) スポンサーからのお知らせ PR Special PR **本日** **月間** あなたにおすすめの記事 PR