108 個の悪意の Chrome エクステンション：共有 C2 インフラによる大規模キャンペーンを発見

Hackers Use 108 Chrome Extensions to Steal User Data Through Shared C2 Infrastructure

2026/04/14 CyberSecurityNews — 悪意の Google Chrome エクステンション 108個を用いる、大規模なサイバー・スパイ・キャンペーンが確認された。Socket の最新レポートによると、これらのエクステンションは機密ユーザー・データの窃取およびアクティブな Web セッションの乗っ取りを目的として設計されている。この大規模なオペレーションは、攻撃者たちに共有される Command and Control (C2) インフラで管理されている。

このセンタライズされたインフラを活用する攻撃者は、新たなバックエンドをツールごとに構築する必要がないため、膨大な数の潜在的な被害者に対してデータ窃取活動を容易に拡大していける。

不正エクステンションによるユーザーデータ集約

これらの不正なエクステンションは、生産性ツール／ユーティリティアプリ／ブラウザ拡張機能として偽装され、ユーザー環境にインストールされている。

不正なエクステンションは、インストール後にバックグラウンド・スクリプトを介して悪意の機能を有効化させる。これらのマルウェアは、Web 閲覧活動を密かに監視し、個人および企業の重要情報を収集する。

攻撃者は共有の C2 ネットワークを用いるため、108個のエクステンションから、同一の悪意のサーバ・クラスターへとデータが送信される。この共有バックエンドにより、ペイロード更新／新規コマンド配信／大量データ処理が効率的に同時実行される。

このキャンペーンの主目的は、データ流出およびセッション窃取である。悪意のエクステンションは、ブラウザ Cookie やアクティブ・セッション・トークンを密かにコピーし、ログイン認証情報を保存するよう設計されている。

セッション・トークンを窃取する攻撃者は、多要素認証 (MFA) の完全な回避が可能になるため特に危険である。有効なセッション・トークンを取得した攻撃者は、ユーザーのパスワードを必要とせずに、企業メール／金融ダッシュボード／社内ポータルといったセキュア・アカウントへ直接アクセスが可能となる。

Chrome Web Store のリストで確認されるのは、開発者の 3 つの URL である “top[.]rodeo／webuk[.]tech／interalt[.]net” が、このキャンペーンに関連していることだ。

この状況が、エンタープライズ環境に深刻なリスクをもたらしている。単一のブラウザ侵害から、ネットワーク全体の深刻な侵害へと発展する可能性がある。

検知を回避するために攻撃者は、複数のステルス技術を悪用している。悪意のコードは高度に難読化されているため、自動スキャナによる解析を回避する。さらに、多くのケースにおいて、データ窃取機能の実行を遅延させ、インストール直後のセキュリティ検査を回避している。

それに加えて、共有 C2 インフラはドメイン名および IP アドレスを頻繁に変更し、セキュリティ・チームによる恒久的なブロックを困難にしている。

このブラウザ・ベースの脅威を軽減するためには、プロアクティブなセキュリティ管理が必要である。

Socket の調査結果から、ユーザー組織に対して強く推奨されるのは、企業デバイスにインストールされたすべての Chrome エクステンションを即時監査し、事前承認された安全なエクステンションのみを許可する、厳格なポリシーの適用である。

個人ユーザーにおいても、ブラウザ・アドオンを定期的に確認し、不審／未使用のものを削除する必要がある。

それに加えてネットワーク管理者は、アウトバウンド通信の監視／不明なサーバへの接続の検知／エンドポイントの保護により、ブラウザからの異常なデータ流出を検出すべきである。

訳者後書：このキャンペーンの実態は、便利に見えるブラウザ拡張エクステンションの中に、Web サイトとユーザーの間の通信を盗み見る、悪意のプログラムを巧妙に隠し持つというものです。これらの 108個にも及ぶ悪意のエクステンションは、インストール後にブラウザの裏側で動作し、ログイン状態を維持するためのセッション・トークンや Cookie を密かに盗み出します。攻撃側は、共通の C2インフラ を利用するという、効率的な仕組みを構築していました。エクステンションの管理は、とても重要です。よろしければ、Extension での検索結果も、ご参照ください。