新たなマルウェア・ツールキットがURLを変えずに被害者を悪意あるサイトへリダイレクト

危険な新しいマルウェア・ツールキットがロシアのサイバー犯罪フォーラムで販売されており、ブラウザのアドレスバーに本物のドメイン名を表示したまま、被害者を偽サイトへリダイレクトできる。

「Stanley」と呼ばれるこのツールキットは2,000〜6,000ドルで販売され、GoogleのChromeウェブストアの審査を通過することを保証している。この脅威は、ブラウザのセキュリティが現代のサイバーセキュリティにおける重大な脆弱点になっていることを示している。

被害者がBinanceやCoinbaseのような標的サイトにアクセスすると、この拡張機能は隠しiframe（要するに「ページの中のページ」）を使って、本物のサイトの上に偽のサイトを重ねて表示する。

攻撃者のフィッシングページが画面に表示される一方で、正規のドメイン名はアドレスバーに残るため、ユーザーをだましてログイン認証情報を入力させる説得力のある錯覚が生まれる。

Stanleyは「Notely」というシンプルなメモアプリに偽装した、偽のChrome拡張機能として動作する。インストールされると、ユーザーが訪れるあらゆるウェブサイトを監視・制御する権限を取得する。

このツールキットにはWebベースの管理パネルが含まれており、攻撃者は感染した全ユーザー、IPアドレス、閲覧履歴を確認できる。

運用者は必要に応じて特定の乗っ取りルールを有効化し、個々のユーザーを精密に狙い撃ちできる。また、ブラウザ自体から送られたように見える偽のChrome通知を送信することもでき、欺瞞の層をさらに重ねられる。

ユーザーに届いた経緯

Stanleyの最も憂慮すべき点は、Googleの審査プロセスを通過して正当性を得るよう設計されていたことだ。

Stanleyは2026年1月12日に初めて登場し、拡張機能が「Googleストアのモデレーションを通過する」と明示的にうたう掲載として宣伝された。

販売者はこの能力を明確に宣伝しており、拡張機能は「Notely」という名称で公式のChromeウェブストアに掲載されていた。

正規のメモ機能を提供することで、この拡張機能は攻撃者が悪意ある機能を有効化する前に好意的なレビューを集めた。

アプリストアの「一度審査すれば、いつでも更新できる」というモデルにより、開発者は初回承認後に何千人ものユーザーへ悪意ある更新を配信できてしまう。

ブラウザのURLバーにはbinance.comが表示される一方で、被害者は攻撃者が制御するコンテンツを見て操作する。

2026年1月21日、セキュリティ研究者が報告し、StanleyをGoogleおよびホスティングプロバイダーに通報した。コマンド＆コントロール（C2）サーバーは翌日にオフラインになったが、悪意ある拡張機能はさらに被害者を生む形でChromeウェブストア上に残り続けた。

ツールキット自体は比較的単純な手法を用いている。拡張機能は10秒ごとに制御サーバーへチェックインし、乗っ取り指示を待機する。

デモでは一般的な「新しいブックマークが利用可能」というメッセージが表示されるが、運用者は任意の文言を書き、任意のリダイレクトURLと組み合わせられる。

被害者のIPアドレスを一意の識別子として使用し、攻撃者が地理的に人々を標的化したり、複数のブラウザ間でユーザーを関連付けたりできるようにしている。

コードにはロシア語のコメントとフォールバック用ドメインが含まれており、主要サーバーが停止してもマルウェアが連絡を維持できるようになっている。

このツールキットは、ブラウザベースの攻撃における根本的な変化を示している。過去2か月間で、セキュリティコミュニティはDarkSpectre （880万人のユーザーに影響）、ChatGPTの会話を盗む偽AI拡張機能、そしてCrashFixマルウェアを記録している。

これらは孤立した事例ではなく、ブラウザ拡張機能が主要な攻撃ベクターになったことを示している。

組織にとって最善の防御策は、Chrome EnterpriseやEdge for Businessを通じた厳格な拡張機能の許可リスト運用であり、明示的に承認したツール以外をすべてブロックすることだ。

個人ユーザー向けの助言はよりシンプルで、拡張機能を定期的に監査し、積極的に使っていないものは削除することだ。「すべてのウェブサイト」や「閲覧履歴」へのアクセスを要求する拡張機能は危険信号と捉えるべきである。

アプリストアの審査プロセスが現行モデルを超えて進化しない限り、悪意ある拡張機能は今後もセキュリティチェックをすり抜け、何百万人ものユーザーに到達し続けるだろう。