430万人被害の「ブラウザ拡張機能」汚染 情シスの“許可”が仇になる時:「7年の潜伏」を許した検知回避の巧妙手口
業務効率化のために許可したブラウザ拡張機能が、ある日突然マルウェアに変貌したら? 7年間検知をすり抜けた手口と、情シスが即座に打つべき「ホワイトリスト汚染」への対抗策を解説する。
企業の業務OSとして、もはや不可欠な存在となったWebブラウザ。SaaS(Software as a Service)全盛の今、ブラウザの使い勝手はユーザーの生産性に直結する。その利便性をさらに高めるのが「拡張機能(アドオン)」だが、実はこれが企業のセキュリティ境界を内側から食い破る「最大の抜け穴」となり得る危険が指摘されている。
2025年1月、Informa TechTargetはセキュリティベンダーであるCyberhavenの拡張機能が攻撃者に侵害され、脅威キャンペーンに悪用されたと報じた。セキュリティのプロが作る製品ですら乗っ取られるという事実は、もはや「信頼できるベンダーだから」「公式ストアの審査を通っているから」という理屈が通用しないことを突きつけている。
さらに衝撃を与えたのが、7年間にわたり430万以上のブラウザを感染させたとされる「ShadyPanda」キャンペーンの全貌だ。彼らの手口は巧妙かつ悪質で、情シス部門が敷く従来の防御網を完全に無効化するものだった。
本稿では、これらの2025年を象徴する事件からブラウザ拡張機能に潜む「管理不能リスク」の正体を解き明かし、企業が取り組むべき対策を提言する。
7年の潜伏と「善人」演技
併せて読みたいお薦め記事
Webブラウザのセキュリティを巡る動向
拡張機能による被害は、従業員が「怪しいファイル」をダウンロードしたから起きるのではない。ユーザー、そして管理者である情シス担当者が「安全だ」と判断してインストールした正規のツールが、ある日突然、牙をむくのだ。
ShadyPandaキャンペーンにおいて攻撃者が取った戦略は、気の遠くなるような「長期戦」だった(出典:4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign)。彼らはまず、壁紙変更アプリやPDF変換ツールといった無害で便利な拡張機能をリリースした。これらは実際に機能し、「Chromeウェブストア」やMicrosoft Edgeの拡張機能ストアの審査を正規の手順で通過していた。
数年かけてユーザー数を増やし、ストアでの高評価レビューと「検証済みバッジ」を獲得する。この段階では、どのセキュリティソフトでスキャンしても「白(安全)」と判定される。情シス部門が導入時にセキュリティ審査を行っていたとしても、この時点では「許可」の判断を下すだろう。ここに最大の罠がある。
自動更新が悪意を運ぶ「時限爆弾」
ユーザー数が430万人に達した段階で、攻撃者は動いた。拡張機能の「自動更新」機能を利用し、悪意あるコードを一斉に配信したのだ。ShadyPandaのケースでは、正規の機能更新に見せかけて「リモートコード実行(RCE)バックドア」が仕込まれた。
このバックドアは、攻撃者のC&C(コマンド&コントロール)サーバから任意の「JavaScript」スクリプトをダウンロードし、実行する機能を持つ。これにより、攻撃者はいつでもブラウザの制御を奪い、閲覧履歴の収集、入力内容のキーロギング、画面のキャプチャーなどを自在に行えるようになった。ユーザーや管理者が気付かない間に、昨日までの「便利ツール」が、今日から「スパイウェア」に変貌していたのである。
セキュリティベンダーすら被害者に
この「後から悪性化する」リスクは、最初から悪意を持って作られた拡張機能に限らない。Informa TechTargetが報じた事例では、数十のChrome拡張機能が侵害されたが、その中にはデータ損失防止(DLP)ソリューションを提供するCyberhavenの製品も含まれていた(出典:Dozens of Chrome extensions hacked in threat campaign)。
攻撃者は、正規の開発者のアカウントを何らかの方法で乗っ取り、正規のアップデートパイプラインを通じて悪意あるコードを配信したと見られる。これはサプライチェーン攻撃の一種であり、どんなに信頼できるベンダーの製品であっても、開発者のアカウント管理に不備があれば、世界中のユーザー企業にマルウェアをばら撒く加害者になり得ることを意味している。
ただのマルウェア感染ではない「3つの致命傷」
拡張機能がマルウェア化した場合、具体的にどのような被害が企業を襲うのか。従来のマルウェア感染とは異なり、ブラウザ拡張機能は「認証の壁」の内側で活動するため、経営に直結する深刻なリスクをもたらす。
1. ガバナンス崩壊と経済安全保障リスク
ShadyPandaキャンペーンで特に懸念されたのが、窃取されたデータの送信先だ。これまでの報道によれば、閲覧履歴や検索クエリといったデータが、中国にあるサーバへ送信されていたという。
日本企業にとって、これは単なる情報漏えいではない。自社の技術情報、M&Aに関する検討資料、あるいは政府機関とのやりとりなどが、特定の国家へ筒抜けになっていた可能性があるのだ。経済安全保障の観点からも、ブラウザ内の情報を「誰が」「どこへ」持ち出しているかを把握できない状態は、ガバナンスの完全な欠如と言わざるを得ない。
2. 認証の無力化とSaaS乗っ取り
現代の企業セキュリティの要であるMFA(多要素認証)も、悪意ある拡張機能の前では無力化される恐れがある。ニュースメディアThe Hacker Newsが公開したリスクガイドによると、拡張機能はブラウザ内で特権的な動作が許可されており、ユーザーがログイン済みのWebサービスの「セッションCookie」にアクセスできる場合がある(出典:A Browser Extension Risk Guide After the ShadyPanda Campaign)。
攻撃者は盗み出したセッションCookieを使い、自分の環境で対象のSaaS(Salesforce、Microsoft 365、Slackなど)になりすましログインを行う。この際、正規のセッションを再利用するため、ID・パスワードの入力も、MFAの通過も必要ない。情シス担当者の管理画面上では「正規ユーザーによるアクセス」としか記録されず、侵害に気付くのは極めて困難だ。
3. 生成AIリスクの増大
昨今の生成AIブームも、攻撃者にとっては格好の狩り場となっている。「ChatGPTの機能を拡張する」「DeepSeekと連携する」といった謳い文句の偽拡張機能が急増しており、その中には入力されたプロンプト(指示文)や、AIからの回答データを外部サーバに送信するものが紛れ込んでいる。
業務効率化のために社員が良かれと思って導入したAI支援ツールが、実は会議の議事録や顧客データ、ソースコードといった機密情報をC&Cサーバへ「全送信」していた――そんな悪夢のような事態が現実に起きている。これらの通信も、HTTPSで暗号化された通常のWebトラフィックに紛れ込むため、従来のファイアウォールやWebフィルタリングでは遮断が難しい。
「禁止」か「管理」か――現実的な解を求めて
「公式ストアにあるから」「有名ベンダーだから」「導入時に審査したから」という性善説に基づいた運用は、もはや通用しない。情シス部門は、ブラウザ拡張機能を「潜在的な脅威」と見なし、ゼロトラストの原則で管理体制を再構築する必要がある。
まず認識すべき点は、導入時のセキュリティチェックには賞味期限があるということだ。ShadyPandaの事例が示すように、安全だった拡張機能が数年後にマルウェア化することは珍しくない。また、開発元の買収によって運営主体が変わり、データ利用ポリシーが改悪されるケースも多発している。
したがって、一度許可した拡張機能であっても「永久ライセンス」を与えてはならない。定期的な棚卸しを行い、更新履歴や権限変更の有無、ストアでの最新レビュー(「最近おかしい」といった報告がないかどうか)をモニタリングするプロセスが必要だ。
ホワイトリスト運用の徹底
技術的な防衛策として最も有効なのは、業務上必須のツール以外は原則禁止とするホワイトリスト運用への転換だ。管理ツール「Chrome Enterprise」「Microsoft Intune」の管理ポリシーを活用すれば、許可された拡張機能以外はインストールできないよう強制できる。
さらに、許可する際も「最小権限の原則」を適用すべきだ。特に「全てのウェブサイト上のデータへのアクセス」や「閲覧履歴の読み取り」といった広範な権限を要求する拡張機能は、情報漏えいのリスクが極めて高い。これらは業務上不可欠な理由がない限り、例外なくブロック対象とするポリシーを検討すべきである。また、特定の業務SaaSドメインに対しては、拡張機能の実行を一律ブロックする設定も有効だ。
EDR/NDRによる出口対策
ポリシー設定だけでは防ぎきれない未知の脅威、あるいはCyberhavenのように正規ツールが侵害されたケースに対しては、EDR(Endpoint Detection and Response)やNDR(Network Detection and Response)による「出口対策」が最後の砦となる。
これらを用いれば、拡張機能のプロセスが不審な外部ドメイン(C&Cサーバ)と通信を行ったり、大量のデータを送信したりする「振る舞い」を検知できる可能性がある。拡張機能が生成する通信ログを監視し、業務に関係のない不審な宛先へのアクセスを早期に発見できる体制を整えることが、被害を最小限に抑える鍵となる。
ブラウザを「無法地帯」にしてはならない
ブラウザ拡張機能は、確かに業務の生産性を高める強力なツールだ。しかし、それは同時に、企業のセキュリティ境界の内部に招き入れた「トロイの木馬」になり得るリスクをはらんでいる。
「便利だから」という現場の声に押され、なし崩し的に利用を認めていないだろうか。あるいは、「ブラウザの中のことまでは管理しきれない」と諦めてはいないだろうか。430万台が感染したShadyPandaキャンペーンや、セキュリティ企業すら被害に遭ったCyberhaven事件は、ブラウザを「管理外の聖域」として放置することの危険性を何よりも雄弁に物語っている。
情シス部長が今なすべきことは、この「見えないリスク」を可視化し、経営層に正しく伝えることだ。「公式ストアの審査も、MFAも突破され、情報は他国へ流れる」という事実を突きつけ、ブラウザ管理の強化、EDRの導入、そして何より「利便性と引き換えにセキュリティを妥協しない」という組織的な合意形成を図るべき時が来ている。
Copyright © ITmedia, Inc. All Rights Reserved.