- ShadyPandaキャンペーンにより、145個のChrome/Edge拡張機能が数年の通常利用後に悪意のあるものへ変化
- アップデートでアフィリエイト詐欺、クッキー窃盗、検索ハイジャック、リモートコード実行が追加
- 430万台のデバイスが危険に晒される;Googleは拡張機能を削除、Microsoftは対応が遅い
100以上のブラウザー拡張機能が、Google ChromeおよびMicrosoft Edgeブラウザーで、5年間「通常」動作した後に悪意のあるものに変化しました。攻撃者は明らかに長期間にわたる信用構築を行い、油断した被害者に対して一気に攻撃を仕掛けたようです。およそ430万台のデバイスが危険に晒されています。
これはKoi Securityのセキュリティ研究者によるもので、このキャンペーンを後に「ShadyPanda」と名付けました。
報告によると、これらの拡張機能は2018年にブラウザーストアに登場し始めました。これらは通常通り動作し、ユーザーに壁紙や生産性向上など様々な機能を提供していました。しかし、2023年以降、これらの拡張機能は徐々に悪意のある機能を導入するアップデートを受け始めました。
リモートコード実行と情報窃取
2023年、攻撃者はアフィリエイト詐欺から始め、eBay、Amazon、Booking[.]com、その他のサイトのトラッキングコードを正規のリンクに追加しました。これにより、ユーザーの知らないうちに、または同意なしに、購入に対して手数料を得ていました。
この手法は約1年間続き、その後攻撃者はさらに一歩進めてセッションクッキーの窃取や検索エンジン結果のハイジャックを行うようになりました。一部の拡張機能は検索クエリを別の(疑わしい)検索エンジンにリダイレクトし、一部は異なるサブドメインに情報を送信し、また一部は単純にセッションクッキーを転送していました。
同年、一部の拡張機能にはリモートコード実行(RCE)機能も追加され、事実上バックドアとなりました。
そして2025年、最後のアップデートで攻撃者は完全なブラウザー履歴から検索クエリ、マウスクリック位置まで、あらゆる種類の機密情報を窃取できるようになりました。また、ブラウザーフィンガープリント、ページインタラクション解析、localStorage、sessionStorage、クッキーへのアクセスも盗まれていました。
拡張機能のリストは非常に多岐にわたります。Edge用が125個、Chrome用が20個あります。Googleはすでに自社リポジトリにあったものをすべて削除したと報じられていますが、Microsoftはやや対応が遅れているようです。悪意のある拡張機能の全リストを確認したい場合は、Koi Securityの詳細なレポートをこちらでご覧ください。
