「SearchJack」と名付けられた組織的なキャンペーンは、一見正規に見える23個のChrome拡張機能を利用し、約758,000人のユーザーのデフォルト検索設定をひそかに乗っ取っています。ユーザーが行った検索クエリは、結果が返される前に、運営者が管理する収益化ミドルウェアを経由するように誘導されています。
各拡張機能は、衛星画像・生産性ツール・ニュースリーダー・地図など便利な機能を提供するように見えます。しかしその真の目的は、主にYahooなどのホスト型検索パートナーやマルチネットワーク系アフィリエイトブローカーを活用したアフィリエイト検索収益化にあります。
SearchJackの悪意ある動作はシンプルかつ巧妙です。各拡張機能はマニフェストの chrome_settings_overrides キーを悪用し、自身をブラウザのデフォルト検索エンジンとして設定します。
多くの拡張機能は、パーミッションもバックグラウンドスクリプトも持たない最小限のマニフェストのみで構成されており、ストアの静的審査を通過するには十分です。一部には地図ビューアや動画検索など表面的な機能が備わっていますが、それはアフィリエイトブローカーに報酬を発生させる検索リダイレクトという「本業」を隠すための偽装に過ぎません。
スキャナーの分析によると、最終的なYahooリダイレクトURLに埋め込まれた hspart パラメータを通じて、少なくとも8つの異なる hspart ブローカーが特定されました。確認された主なブローカー識別子には、trp、infospace(System1)、flowsurf、adk、becovi、imageadvan、mnet、fc、dcola が含まれます。
このキャンペーンは、2026年6月9日にMalExt Sentryの自動スキャナーによって分析されており、標準的なストア審査をすり抜けるスケーラブルなブローカー主導モデルの実態を示すものです。プライバシーの継続的な侵害とフィッシングリスクをもたらしています。
キャンペーン概要
| キャンペーン名 | SearchJack |
| 特定された拡張機能数 | 23 |
| ユニーク発行者数 | 22 |
| 影響を受けた総ユーザー数 | 約758,000人 |
| 特定されたブローカー数 | 8 |
| 主な収益化手法 | ホスト型検索アフィリエイト(Yahoo・マルチネットワーク) |
| 分析日 | 2026年6月9日 |
ブローカーとの関係は個々の拡張機能のライフサイクルとは独立して維持されるため、使い捨ての発行者アカウントをローテーションしても収益の流れは途切れません。
SearchJackアドウェアキャンペーンの詳細
各拡張機能はインストール数や見た目こそ異なりますが、明確なインフラパターンを共有しています。代表例として、「PerfecTab Search」「Quick Search Tool」「Better Search」はいずれも約10万件のインストール数を誇り、その他多くの拡張機能も2,000〜70,000件の範囲に収まっています。
いくつかの不審な点も浮かび上がっています。「Nautilus Search」はストアの掲載ページで「検索履歴を追跡しない」と明言しながら、プライバシーポリシーではIPアドレスとクエリログの収集を開示しています。「Search Toggler」は検索エンジンを切り替えられるUIを備えていますが、実際のミドルウェア経由のルーティングは chrome.declarativeNetRequest.updateDynamicRules() で動的に注入されており、静的解析では検出できません。「Fusebase Search」はレビュー数とインストール数の比率が不自然で、レビューの操作やアカウントの転用が疑われます。
発行者の身元も不明瞭です。信頼できる企業名を明記していない拡張機能が多く、プライバシーポリシーには無関係な事業体が記載されているケースもあり、説明責任の所在が不明確です。
このモデルが問題視される理由は、単なるアドウェアにとどまらず、能動的なセキュリティ脅威に発展しうる点にあります。すべての検索クエリが匿名の第三者に漏えいし、ユーザーの行動意図や技術的識別情報が大規模に収集されてしまいます。
さらに深刻なのは、ミドルウェアを制御する運営者が、拡張機能のコードを変更することなく、またストアの再審査を経ることなく、配信するコンテンツを中央から一括変更できる点です。無害な収益化された検索結果から、フィッシングページ、認証情報を盗むサイト、悪意あるダウンロードへと、いつでも切り替えることができます。
このキャンペーンのブローカー中心の構造上、個々の拡張機能を削除するだけでは効果が薄く、アフィリエイトアカウントやホスト型検索インフラを対象としたプラットフォームレベルの対策が不可欠です。
技術的な帰属と指標は明確です。MalExt Sentryは23個の拡張機能、22の固有発行者、約758,000人の影響ユーザー、8つの収益化ブローカーを特定しました。
拡張機能IDから検索URLおよび hspart 値へのマッピングを含む全データセットからは、Yahooのホスト型検索リダイレクト(yhs-* パラメータ)の一貫した使用と、System1/infospace系トラフィックに向けた /admin/public/link エンドポイントなど繰り返し使用されるバックエンドテンプレートが確認されています。
これらの証拠はプラットフォーム運営者にとって即時のトリアージ手段となります。具体的には、hspart パラメータに紐づくアフィリエイトパートナー資格情報の失効、シェル的なパターンを示す発行者アカウントの監査・停止、中間検索エンドポイントとして使用されているドメインのブロックまたはフラグ付けが求められます。
対策には連携した行動が必要です。Chrome Web Storeをはじめとするブラウザ拡張機能プラットフォームは、発行者の本人確認強化、ランタイム挙動のスキャン、アフィリエイトアカウントの監査を徹底する必要があります。セキュリティチームは chrome_settings_overrides の変更を検出・除去し、リダイレクトチェーン内の hspart パラメータを精査し、影響を受けたユーザーに検索設定のリセットと不審な拡張機能の削除を促すべきです。
Nautilus Searchのように虚偽のプライバシー主張をストア上で行っているケースでは、規制当局による執行の余地もあります。ブローカーレベルでの管理が強化されない限り、SearchJack型のキャンペーンはプライバシー侵害と大規模フィッシングリスクをもたらす採算の取れた手口として存続し続けるでしょう。
翻訳元: https://gbhackers.com/searchjack-adware-campaign/
