- Stripe OLTが発見したModHeader v7.0.18には隠されたスパイウェアSDKが仕込まれており、閲覧ドメインを毎日中国系サーバーへ送信し、アドウェアとしても動作していた
- この拡張機能はChromeとEdgeを合わせて160万ダウンロードに達しており、ストアからは削除されたものの、既にインストール済みの端末は引き続きリスクにさらされている
- 研究者らは、ストアからの削除だけでは侵害された端末の問題は自動的に解決しないため、防御側に既存インストールの特定と削除を呼びかけている
160万件以上のダウンロード数を誇る、信頼されたChrome・Edgeブラウザ拡張機能「ModHeader」が悪意あるものであることが判明しました。機密データを中国系企業所有のサーバーに送信していたとみられており、この拡張機能は現在、両ストアから削除されています。
セキュリティ研究者チームのStripe OLTは、新たなレポートでこの事実を明らかにし、ModHeaderのビルドv7.0.18に隠されたスパイウェアSDKが含まれていた経緯を詳しく説明しています。
Stripe OLTによると、このスパイウェアはユーザーが訪問したドメインを収集し、AES-GCPでデータを暗号化した上で、1日に1回リモートサーバーへ送信していたとのことです。データ収集機能はデフォルトでは無効化された状態で発見されましたが、必要なコード、暗号鍵、アップロードのスケジュールはすべて既に拡張機能内に組み込まれていました。
中国系脅威アクターとの関連
研究者らはコマンド&コントロール(C2)機能は確認していません。つまり、このサーバーは盗まれたデータを受信するだけで、拡張機能側に指令を送り返すことはできない仕組みです。また、この拡張機能はアドウェアとしても機能しており、企業管理下の端末を含め、アップデート時に広告を表示したり広告用のタブを開いたりしていました。
研究者らは確度は低いとしながらも、今回の攻撃を中国語を話す脅威アクターによるものと見ています。データ送信先のドメインは、中国語圏のチームでよく使われるスイート製品「Lark」経由でメールをやり取りしていたとのことです。また、コード内には中国語の文字列が見つかっており、ストア掲載情報には簡体字中国語のロケールが含まれていたとも指摘しています。
ModHeaderは、ブラウザとウェブサイトの間で送受信されるHTTPリクエストおよびレスポンスのヘッダーを変更できるChrome・Edge向け拡張機能です。開発者やセキュリティ研究者は、APIのテストやアプリケーションのトラブルシューティング、さまざまな環境のシミュレーションにこのツールを利用しています。Chromeでは約90万人、Edgeでもさらに70万人のユーザーを抱えていました。
The Hacker Newsによると、Microsoftは2026年6月3日に自社ストアからこのツールを削除し、Googleもその1週間後の7月10日に追随したとのことです。
「今回の情報開示を受けて、GoogleはChromeウェブストアからこの拡張機能を削除しました」とStripe OLTは結論付けています。「この対応を歓迎しますが、ストアからの削除だけでは、既にこの拡張機能がインストールされている端末の問題が自動的に解決するわけではありません。防御側は引き続き、既存のインストールを特定し削除する対応を続ける必要があります」