FirefoxChrome Edge ユーザーを監視する不正拡張機能に感染 |Malwarebytes

ダークスペクターと呼ばれるサイバー犯罪者グループが、悪意のあるブラウザ拡張機能によって拡散された3つのキャンペーン（ShadyPanda、GhostPoster、Zoom Stealer）の背後にいるとみられている。

2025年12月、我々はShadyPandaキャンペーンについて記事化し、長年正常に動作していた拡張機能が突然不正化する危険性をユーザーに警告した。悪意のある更新後、これらの拡張機能はブラウジング行動を追跡し、ブラウザ内で悪意のあるコードを実行する能力を獲得した。

また12月には、研究者らが新たな攻撃キャンペーン「GhostPoster」を発見し、17の侵害されたFirefox拡張機能を特定した。このキャンペーンでは、5万回以上ダウンロードされた悪意のあるFirefox拡張機能の画像ロゴ内にJavaScriptコードを隠蔽しており、攻撃者がブラウザの活動を監視しバックドアを仕掛けることを可能にしていた。

画像内に悪意のあるコードを埋め込む手法はステガノグラフィと呼ばれる。以前のGhostPoster拡張機能は、「FreeVPN 」のようなFirefox拡張機能において、ロゴ.pngなどのPNGアイコン内にJavaScriptローダーコードを隠蔽していた。この際、画像データとペイロードを分離するために、生バイトデータ内にマーカー（例：等号3つ）を使用していた。

新しい亜種は、拡張機能バンドル内の任意の画像にペイロードを埋め込み、実行時にデコードおよび復号化する手法へ移行した。これにより、悪意のあるコードを研究者が検出することがはるかに困難になっている。

この調査に基づき、他の研究者らは元のFirefox拡張機能セットに加えて、同じグループに関連する追加の17の拡張機能を発見した。これらは合計で84万回以上ダウンロードされ、一部は最大5年間も実環境で活動し続けていた。

GhostPosterEdge 標的とし、攻撃者がインフラをChrome 。攻撃者は各ブラウザのウェブストアに拡張機能を公開し、「Google翻訳を右クリックで」「Ultimate」「選択テキストをGoogleで翻訳」「Instagram 」「YouTubeダウンロード」といった有用なツールを装った名称で配布した。

拡張機能は訪問したサイト、検索クエリ、購買行動を把握でき、攻撃者がユーザーの習慣や興味に関する詳細なプロファイルを作成することを可能にする。

他の悪意のあるコードと組み合わせることで、この可視性は、たとえそれが現在の主な目的でなくとも、認証情報の窃取、セッションハイジャック、あるいはオンラインバンキングのワークフローを標的とした攻撃にまで拡大される可能性がある。

安全に過ごすには

公式ウェブストアからのみ拡張機能をインストールするよう常に推奨しているものの、今回の事例は改めて、そこに存在するすべての拡張機能が安全とは限らないことを証明しています。とはいえ、ウェブストア外から拡張機能をインストールする際のリスクはさらに大きいのです。

ウェブストアに掲載される拡張機能は、承認前に審査プロセスを経ます。このプロセスでは自動チェックと手動チェックを組み合わせ、拡張機能の安全性、ポリシー遵守状況、および総合的なユーザー体験を評価します。目的は、ユーザーを詐欺、マルウェア、その他の悪意のある活動から保護することです。

MozillaとMicrosoftは特定されたアドオンを各ストアから削除し、GoogleもChrome からの削除を確認しました。ただし、既にインストール済みの拡張機能は、ユーザーが手動でEdge Chrome Edge Chrome 動作し続けます。Mozillaがアドオンをブロックすると、そのアドオンは無効化され、Firefoxとの連携やブラウザ・データへのアクセスが防止されます。

これらの拡張機能をインストールしてしまった可能性があるとお考えの場合、Windows ブラウザを閉じたMalwarebytes を実行できます。