GhostPoster Browser Malware Hid for 5 Years With 840,000 Installs
2026/01/16 hackread — 単一のブラウザ・エクステンションにおけるインシデントとして始まった事象は、多くのユーザーが予期しない大規模なサイバーセキュリティ上の懸念へと発展している。2025年12月に Koi Security が公開した分析結果によると、GhostPoster と名付けられた Firefox エクステンションは、ブラウザ・エクステンションの審査担当者が通常確認する警告サインを回避する悪意ある手法を採用していたことが明らかになった。
GhostPoster の挙動には、無害に見える PNG 画像ファイル内部にペイロードを隠蔽する仕組みが含まれていた。このステガノグラフィー技術を用いた画像は、後続の攻撃ステップでデコードおよび実行されるため、静的解析ツールおよび手動レビューによる監視を回避し、疑念を抱かせることなく使い続けられていた。
Koi Security の報告と LayerX による追跡
Koi Security が調査結果を共有した後に、LayerX がエクステンションの背後にあるインフラの追跡を開始した。同一キャンペーン内に、追加の回避手法を用いる高度なバリアントが存在することも、LayerX は確認している。このバリアント単体のインストール数は 3,822件に留まるが、その設計が示唆するのは、短期的な利益追求ではなく、綿密かつ長期的な計画である。
LayerX は、「Koi Security が情報を公開した後に、同一のインフラと TTP (tactics, techniques, and procedures) を持つ、17件のエクステンションを特定した。これらのエクステンションは合計で 840,000回 以上ダウンロードされ、一部は最大 5年間にわたり実環境で活動を継続していた」と述べている。
このキャンペーンは Firefox から始まったものではない。調査により確認されたのは、Microsoft Edge 上で始まった活動が、その後のインフラの成熟に伴い Chrome/Firefox へと拡大したことである。この緩やかな拡散について、速度よりも持続性を重視した長期運用を示すものだと、研究者たちは分析している。エクステンションを有用かつ信頼できる状態で長期間にわたり維持し、その後に悪意ある挙動を有効化する戦略である。
マーケットプレイスから削除されてもブラウザからは削除されない
LayerX が Hackread.com と共有したブログ投稿によると、これらの公開を受けて Mozilla/Microsoft は、特定されたエクステンションを公式ストアから削除した。それにより新規ダウンロードは停止されたが、すでにインストールされているエクステンションはユーザー環境上で動作し続ける。そのため、ユーザー自身が手動で削除する必要がある。
今回の調査結果が示すのは、ブラウザ・セキュリティを侵害するサイバー犯罪者にとって、ブラウザ・エクステンションが最も容易な攻撃ベクターの一つとなっている実態である。ユーザーに対して強く推奨されるのは、インストール済みエクステンションを定期的に見直し、付与された権限を最小限に抑え、不要なエクステンションを確実に削除することである。
ブラウザのエクステンションを悪用する、きわめて巧妙で長期的な攻撃キャンペーンが明らかになりました。この問題の原因は、無害に見える画像ファイルの中に悪意のプログラムを隠す、ステガノグラフィーという手法にあります。この技術により、ストアの審査やセキュリティ・ツールの目をすり抜け、5 年もの間にわたり、正体を見破られずに活動を続けていました。この攻撃の恐ろしさは、最初は便利で安全なツールとして振る舞い、数年かけて信頼と多くのユーザーを獲得した後に、遠隔操作で悪意の機能を有効化させる点にあります。この問題は、特定のソフトウェアの不備というより、信頼を得た後に悪意を現す設計上の狡猾さに起因しています。公式ストアから削除されても、個人のブラウザからは自動で消えないため、GhostPosterなどの不審なエクステンションが残っていないか、自分の手でチェックして削除することが大切です。よろしければ、Extension での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.