Koi Securityは7月9日(現地時間)、Mediumの「Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware. | by Idan Dardikman | Jul, 2025 | Koi Security」において、Google ChromeおよびMicrosoft Edgeから合計18の悪意のある拡張機能を発見したと報じた。

これら拡張機能は公式ストアから配布され、数年間にわたり問題なく動作していたが、アップデートを境にマルウェアに変貌したという。影響を受けたユーザーは合計で230万人以上とみられている。

  • Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware.|by Idan Dardikman|Jul、2025|Koi Security

    Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware. | by Idan Dardikman | Jul, 2025 | Koi Security

拡張機能の不審な動き

これら悪意のある拡張機能は、Webサイトにアクセスするたびに次の動作を実行するとされる。

  • WebサイトのURLを窃取
  • コマンド&コントロール(C2: Command and Control)サーバの指示でリダイレクト

マルウェア感染による被害

これら動作による直接の被害はプライバシーの侵害程度と評価できるが、問題はその先にあるという。Koi Securityはその一例を次のように解説している。

  • ユーザーが正常なZoom会議の招待状を受け取り、リンクをクリックする
  • 悪意のある拡張機能がZoomへのアクセスを検出して詐欺サイトへリダイレクトする
  • 詐欺サイトは「重要なZoomアップデート」が必要として、マルウェアをダウンロードさせる

つまり、悪意のある拡張機能はマルウェア本体ではなく、ユーザーを詐欺サイトに誘導する攻撃ツールとして動作する。攻撃者はフィッシングメールなどに依存することなく、効果的にユーザーを誘導し、追加のマルウェアの配布や認証情報の窃取などを実行することができる。

  • 悪意のある拡張機能の配布サイト例 - 引用:archive.org

    悪意のある拡張機能の配布サイト例 引用:archive.org

悪意のある18の拡張機能のリスト

Koi Securityは一連のサイバー攻撃を「RedDirection」と名付け追跡している。RedDirectionキャンペーンにて配布された悪意のある拡張機能は次のとおり。

Google Chrome(カッコ内は拡張機能ID):

  • Emoji keyboard online - copy&past your emoji. (kgmeffmlnkfnjpgmdndccklfigfhajen)
  • Free Weather Forecast (dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
  • Video Speed Controller - Video manager (gaiceihehajjahakcglkhmdbbdclbnlf)
  • Unlock Discord - VPN Proxy to Unblock Discord Anywhere (mlgbkfnjdmaoldgagamcnommbbnhfnhf)
  • Dark Theme - Dark Reader for Chrome (eckokfcjbjbgjifpcbdmengnabecdakp)
  • Volume Max - Ultimate Sound Booster (mgbhdehiapbjamfgekfpebmhmnmcmemg)
  • Unblock TikTok - Seamless Access with One-Click Proxy (cbajickflblmpjodnjoldpiicfmecmif)
  • Unlock YouTube VPN (pdbfcnhlobhoahcamoefbfodpmklgmjm)
  • Color Picker, Eyedropper - Geco colorpick (eokjikchkppnkdipbiggnmlkahcdkikp)
  • Weather (ihbiedpeaicgipncdnnkikeehnjiddck)

Microsoft Edge(カッコ内は拡張機能ID):

  • Unlock TikTok (jjdajogomggcjifnjgkpghcijgkbcjdi)
  • Volume Booster - Increase your sound (mmcnmppeeghenglmidpmjkaiamcacmgm)
  • Web Sound Equalizer (ojdkklpgpacpicaobnhankbalkkgaafp)
  • Header Value (lodeighbngipjjedfelnboplhgediclp)
  • Flash Player - games emulator (hkjagicdaogfgdifaklcgajmgefjllmd)
  • Youtube Unblocked (gflkbgebojohihfnnplhbdakoipdbpdm)
  • SearchGPT - ChatGPT for Search Engine (kpilmncnoafddjpnbhepaiilgkdcieaf)
  • Unlock Discord (caibdnkmpnjhjdfnomfhijhmebigcelo)

対策

前述の拡張機能をインストールしたことがある場合は、次の対策を実施することが推奨されている。

  • 悪意のある拡張機能を削除する
  • Webブラウザのデータを削除する。保存されているトラッキング識別子も削除する
  • システム全体のマルウェアスキャンを実施する
  • 認証情報を窃取された可能性があるため、オンラインアカウントの侵害について調査する
  • インストール済みのすべての拡張機能に対して不審な動作がないか調査する

これら拡張機能をインストールしても追加の攻撃があるとは限らない。冷静に影響を評価して、適切な対策を実施することが望まれている。