Googleは7月10日(金)、ModHeader拡張機能をChromeウェブストアから削除しました。しかしそれとは別に、各組織は管理下・非管理下を問わずブラウザに既存のインストールが残っていないか調査し、削除する必要があります。
Stripe OLT SOCは、約90万人のユーザーを抱えるChromeウェブストア拡張機能ModHeaderの内部に、休眠状態の監視機能を発見しました。
分析時点の2026年7月6日にライブでインストール可能だったバージョン7.0.18には、閲覧履歴を収集・外部送信する仕組みが完全に構築されていました。このビルドでは無効化されていたものの、機能自体は完全に動作可能な状態でした。
ModHeaderが本来持つヘッダー編集機能の裏側で、Stripe OLTは拡張機能の初回起動時に固定識別子とAES-GCMの初期化ベクトルを生成するデバイスフィンガープリンティング処理を発見しました。
ハードコードされたAES-GCM暗号鍵が、訪問したすべてのドメインを暗号化した上でIndexedDBストアにローカル保存し、スケジューラがこの暗号化データをapi[.]stanfordstudies[.]comのエンドポイントへ、ジッターを加えた上で毎日アップロードする準備を整えていました。
これとは別に、インストール・更新・アンインストールの各イベントはextensions-hub.comという2つ目のドメインへビーコン送信されており、すべての閲覧ページに注入されたコンテンツスクリプトがリクエストのメタデータをローカルストレージに記録していました。
重要な点として、データ外部送信のトリガーは空のアローリストによってゲートされているため、このビルドでは実際にはアップロードは一度も発生しません。
暗号鍵、送信先エンドポイント、スケジューラ、ストレージなど、その他のすべてのコンポーネントは既に実装済みであり、新たな権限追加やユーザー操作を一切必要としない、通常のサイレントアップデートによって有効化できる状態にあります。
Stripe OLTは、悪意のあるサービスワーカーをGoogle自身のChromeウェブストアコンテンツ検証シグネチャと照合し、実行ファイルのSHA-256ツリーハッシュを再計算した上で、拡張機能のverified_contents.jsonマニフェストに記載された署名済みルートハッシュと比較しました。
その結果、ハッシュ値は完全に一致しました。これは、このコードがModHeaderになりすましたサイドロード版ではなく、Chromeウェブストアの正規リスティングを通じて配布されたものであることを裏付けています。
オープンソースインテリジェンスによる追跡調査の結果、stanfordstudies.comは学術機関を思わせる名称にもかかわらず、スタンフォード大学とは一切関係のない、古くから存在する再利用ドメインであることが判明しました。
このドメインは2024年9月に構築されたAWS us-east-2上の露出したOpenSearchクラスターをホストしており、大規模なテレメトリの取り込みを想定した構成に見えます。
特筆すべき点として、データ送信先エンドポイントとextensions-hub.comの広告APIは現在同一のAWSホスト型IPアドレスを指しており、両サービスが同一の運用者ないし基盤インフラを共有している可能性と整合します。
このパターンは過去にも前例があります。2023年のスレッドでは、ModHeaderが検索結果に広告を注入していると指摘されており、さらに古くはこの拡張機能が広告詐欺のプロキシに転用されていたというユーザーからの苦情もありました。これらは、収益化のための方向転換が後に本格的な監視機能へとエスカレートしていったことをうかがわせます。
Stripe OLTが確認したところによると、サードパーティのレピュテーションサービスはこの拡張機能を低リスクと評価しており、スコアは最高で100点満点中95点、マルウェアとしてのフラグも一切立っていませんでした。
これは、収集されたデータが暗号化されているためスキャナには暗号文しか見えずURLが検知できないこと、データ送信のゲートが閉じているためサンドボックスでの動的解析では外向きの履歴通信が一切観測されないこと、そして悪意のあるロジックがミニファイされ、著名なデータベースライブラリと共に大規模な正規コードベースの中に紛れ込んでいたことが原因です。
約90万件に上るインストール数は企業デバイスと個人デバイスの両方にまたがっていると見られ、さらにModHeaderのユーザー層は開発者、QAエンジニア、クラウド管理者に偏っていることを踏まえると、この休眠機能が今後有効化された場合、社内アプリケーション、VPNポータル、IDプロバイダー、トークンや認証情報を含む機密URLなどが露出する恐れがあります。
セキュリティチームは、管理下のChrome環境全体で拡張機能ID「idgpnmonknjnojddfkpgkljpfnnfcklj」をブロックし、stanfordstudies.comおよびextensions-hub.comへの外向き通信の有無を調査するとともに、拡張機能のleveldbパス配下にあるIndexedDBの痕跡がエンドポイントに残っていないか確認する必要があります。
Googleによるリスティングの削除は新規インストールのリスクを減らすものですが、既にインストール済みの端末を修復するものではありません。そのため、継続的な検知と削除の取り組みが引き続き必要です。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])を用いています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。
翻訳元: https://cyberpress.org/modheader-chrome-extension-exposes-900000/