50+ Malicious Chrome Extensions Hit 30K Users
2026/06/03 gbhackers — ライブ壁紙ユーティリティを装う、50 件以上の悪意の Chrome エクステンションが検出された。それらは、ブラウザ挙動を乗っ取り、約 30,000 人のユーザーに対してリモート HTML コンテンツを密かに配信する、アドウェア運用を行っていたことが判明した。これらのエクステンションは、少なくとも 3 つの発行者アカウントを通じて配布され、Chrome Web Store およびサードパーティのダウンロード・ポータルで、アニメーション壁紙やビジュアル・タブページとして提供されていた。
これらのエクステンションがインストールされると、付与された権限が悪用される。その結果として、単なる外観変更ツールに見えるものが本格的なアドウェア配信メカニズムへと変化し、運用者が制御するコンテンツの読み込み/ショートカットの挿入/積極的な広告の表示などを実行していた。
これらのエクステンションは、リモート HTML インジェクションに大きく依存しており、攻撃者が制御するドメインから HTML ペイロードを定期的に取得し、サニタイズを行わずにポップアップ・コンテナ内へレンダリングする。
この仕組みにより、Chrome Web Store 審査を通過するための新バージョンの公開を回避し、広告テンプレート/トラッキングフック/リダイレクトチェーンをサーバ側で柔軟に変更していた。
このアドウェアキャンペーンを Gameograf として追跡していた Unit 42 の脅威研究者たちは、ライブ壁紙型の新規タブ・エクスペリエンスとして販売される、50 以上の Chrome エクステンションを特定した。
これらのエクステンションは、インストール時に強制的にタブ・リダイレクトを発生させ、事前に設定された URL を開いて広告収益化されたランディング・ページへとトラフィックを誘導する。さらに、インストール時とブラウザ起動時に、IndexedDB データベースを削除していた。この手法は、状態のリセットと、ローカル・ストレージベースの制御回避に加えて、毎回新しいコンテンツを読み込ませることを目的とするものとみられる。
一連のエクステンション内部の主要スクリプトは、Gameograf のインフラから JSON コンフィグ・ファイルを定期的に取得し、”shortcuts” リソースを含むリンク情報を UI にレンダリングする。
取得したコンフィグ・ファイルをエクステンションが解析し、リモート HTML をポップアップ・コンテナに注入することで、ユーザーへのプロンプト表示/オーバーレイ生成/クリック誘導フローの細かな制御が可能になる。
このキャンペーンは、Chrome Web Store での配布に加えて、壁紙テーマの Web サイトも活用している。これらのサイトは、壁紙のギャラリーやカテゴリを提示するが、主目的はインストール・リンクを埋め込んで、ユーザーをアドウェア・エクステンションへ誘導するものだ。
これらのエクステンションは無害なビジュアル拡張として宣伝されるため、非技術ユーザー/ゲーマー/特定コンテンツのファンなどを引きつけやすく、数万規模のインストール拡大に寄与している。
被害者が主として経験するのは、侵入的な広告/強制リダイレクト/ブラウザ性能の低下などである。その原因は、エクステンションが継続的にリモート・コンテンツを読み込み、新規タブを開くことにある。
その一方で、サニタイズされていないリモート HTML と運用者が制御するコンフィグにより、同一の配信基盤を介した、フィッシング/偽ログイン画面/マルウェア配信などへ転用されるリスクも存在する。
ストレージのリセットと自己コンフィグ制御により、ユーザーは不要なポップアップやリダイレクトの原因を特定しづらい。さらに、同一の発行者による複数エクステンションを導入した場合は影響が増幅される。
セキュリティ・チームが監視すべきは、Gameograf 系ライブ壁紙エクステンションや、広範な権限を要求して外部 HTML を読み込む、新規のタブ・アドオンの存在である。
エンタープライズ環境においてリスクを低減するには、不要なブラウザ・エクステンションのインストール制限と、Chrome Enterprise ポリシーによる許可リスト運用に加えて、未信頼ドメインからのリモート・コンフィグや HTML を取得するエクステンションの検出などが有効となる。
エンドユーザーはブラウザ・エクステンションを定期的に監査し、不明なライブ壁紙や新規タブエクステンションを削除し、信頼できるセキュリティ・ツールでシステムをスキャンして、残存するアドウェア・コンポーネントを除去すべきである。
このキャンペーンが示す通り、見た目は単なるビジュアル機能であっても、運用者がリモートでコンテンツを制御できる場合には、アドウェア/マルウェアを柔軟に配信するプラットフォームへと容易に変質する。
訳者後書:一連の Chrome エクステンションの手法は、インストール時に付与された高い権限を悪用し、設計上の不備を突くことで、外部サーバから取得したリモート HTML コンテンツを、適切なサニタイズなしにブラウザ内へ読み込むというものです。見た目は便利な壁紙ツールを装いながら、内部では攻撃者が制御するドメインから定期的に不正なコンフィグ・ファイルや画面データを取得して表示させる、アドウェアの仕組みが最初から仕込まれていました。審査を回避しながらリモート操作で表示内容を改竄できる状態になっており、外部の未信頼ソースからプログラムを動的に取得して実行することも可能なものです。Chrome エクステンションには、注意が必要です。よろしければ、Chrome Extension での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.