Chrome拡張QuickLensがマルウェア化した事件の教訓Featured Badge取得の正規拡張が所有権変更で攻撃ツールに変貌

GoogleのFeatured Badge付き拡張がマルウェアに変貌

GoogleのChrome Web Storeで「Featured Badge」を取得し、約7,000ユーザーに利用されていた正規の拡張機能「QuickLens」が、所有権変更をきっかけにマルウェアへと変貌しました。この事件は、「公式ストアの審査済み拡張機能なら安全」という従来の前提を根本から覆すものです。BleepingComputerの報道によると、2025年2月1日に所有権が変更され、2月17日のバージョン5.8アップデートで悪意あるスクリプトが注入されました。

攻撃の手口と被害の実態

今回の攻撃は、拡張機能売買マーケットプレイス「ExtensionHub」を通じた所有権変更が起点となっています。新しい所有者は、既存の7,000ユーザーという「信頼資産」をそのまま引き継ぎ、悪意あるコードを追加しました。

新バージョンには3つの攻撃機能が組み込まれていました。1つ目は「ClickFix攻撃」と呼ばれる手法で、偽のエラーメッセージを表示してユーザーに悪意あるコマンドの実行を誘導するものです。2つ目は、MetaMask、Phantom、Trust Walletといった暗号通貨ウォレットからパスワードや秘密鍵を窃取する機能です。3つ目は、ブラウザに保存された認証情報を盗み出す機能でした。

特に注目すべきは、ClickFix攻撃との組み合わせです。この手法は2024年後半から急増しており、PowerShellコマンドなどを実行させることで、拡張機能の権限を超えた攻撃を可能にします。Googleは問題を認識後、拡張機能を削除し、Chromeは自動的に無効化を実行しました。

なぜこの事件が企業にとって重要なのか

この事件の本質は、サプライチェーン攻撃の新たな形態が確立されたことにあります。従来、拡張機能のリスクは「怪しい開発元」や「審査をすり抜けた悪意あるアプリ」に限定されると考えられてきました。しかし今回は、Googleの厳格な審査を通過し、Featured Badgeという「お墨付き」まで取得した正規拡張が標的となりました。

2024年から2025年にかけて、Chrome拡張機能の所有権変更を悪用した攻撃は複数報告されています。先月もHuntressがModeloRATを配布する拡張機能について報告しており、ブラウザ拡張エコシステム全体のリスクが加速している状況です。企業においては、従業員が業務効率化のために独自にインストールした拡張機能が、ある日突然マルウェアに変わるリスクを認識する必要があります。

自社で今すぐ実施すべき対策

この脅威に対して、企業が取るべき具体的なアクションがあります。

まず、社内で利用されているChrome拡張機能の棚卸しを実施してください。IT部門が把握していない拡張機能が従業員のブラウザにインストールされているケースは少なくありません。不要な拡張機能は速やかに削除し、必要なものはリスト化して管理することが重要です。

次に、拡張機能の所有権変更を監視できるツールの導入を検討してください。拡張機能の更新履歴や開発者情報の変更をモニタリングすることで、今回のような攻撃を早期に検知できる可能性が高まります。

暗号通貨ウォレットを業務で使用している場合は、ブラウザの分離を強くお勧めします。ウォレット操作専用のブラウザプロファイルを作成し、拡張機能を最小限に抑えることで、被害を局所化できます。

また、ClickFix攻撃への対策として、不審なエラーメッセージが表示された際の対応ルールを従業員に周知することも有効です。正規のエラーメッセージはコマンド実行を求めることはありません。

最後に、ブラウザに認証情報を保存する運用を見直してください。パスワードマネージャーの利用や、重要なサービスへの多要素認証の導入により、認証情報窃取の被害を軽減できます。

まとめ

Featured Badge取得済みの正規Chrome拡張がマルウェア化した今回の事件は、「審査済み＝安全」という前提が通用しなくなっていることを示しています。拡張機能の定期的な棚卸し、所有権変更の監視、ブラウザ分離といった多層的な対策が求められます。

自社のセキュリティ体制に不安がある場合は、180社以上の支援実績を持つGXOにご相談ください。現状のリスク評価から具体的な対策の導入まで、伴走型でサポートいたします。

お問い合わせはこちら

Markdown 2500 bytes 43 words 44 lines Ln 37, Col 0

HTML