SearchJack Adware Campaign Exposes 758,000 Users to Privacy and Phishing Risks
2026/06/15 gbhackers — SearchJack と呼ばれる組織的なキャンペーンにより、23件の悪意の Chrome エクステンションが約 75.8 万人に配布され、ユーザーのデフォルト検索設定を密かに乗っ取っている。具体的には、検索結果が返される前に、脅威アクターが管理する収益化ミドルウェアを経由して、検索クエリがルーティングされてしまう。
これらのエクステンションは、衛星画像/生産性向上ツール/ニュース・リーダー/地図などの有用な機能を提供しているように見えるが、実際の目的はアフィリエイト検索による収益化であり、主に Yahoo などのホスト型検索パートナーや複数ネットワークのアフィリエイト・ブローカーを悪用している。
SearchJack の悪意の挙動は単純でありながら巧妙であり、各エクステンションはマニフェスト・キーの “chrome_settings_overrides” を悪用することで、自身をブラウザのデフォルト検索エンジンに設定する。
多くのエクステンションは、権限やバックグラウンド・スクリプトを持たない最小限のマニフェストのみで構成されたラッパーであり、静的なストア審査を通過していく。その一方で、一部のエクステンションは、地図ビューアや動画検索などの表面的な機能を実装し、検索トラフィックをアフィリエイト報酬が発生するリダイレクト・チェーンへ誘導するという、本来の目的を隠蔽している。
最終的な Yahoo リダイレクト URL に埋め込まれた hspart パラメータを通じて、少なくとも 8件の異なるブローカーが、スキャナにより特定された。注目すべきブローカー識別子として挙げられるのは、trp/infospace (System1)/flowsurf/adk/becovi/imageadvan/mnet/fc/dcola である。
このキャンペーンは、2026年6月9日に MalExt Sentry 自動スキャナにより分析された。標準的なストア監視を回避しながら、持続的なプライバシー侵害およびフィッシングのリスクを生み出す拡張性の高いブローカー主導モデルである。なお、ブローカーとの関係は、個々のエクステンションのライフサイクルとは独立して維持されているため、使い捨ての公開者アカウントを入れ替えたとしても収益の流れは維持される。
キャンペーン概要
| Campaign Name | SearchJack |
| Extensions Identified | 23 |
| Unique Publishers | 22 |
| Total Affected Users | ~758,000 |
| Brokers Identified | 8 |
| Primary Monetization | Hosted Search Affiliate (Yahoo, multi-network) |
| Date of Analysis | June 09, 2026 |
SearchJack アドウェア・キャンペーン
これらのエクステンションは、インストール数や表示方法に違いがあるが、明確なインフラ・パターンを共有している。PerfecTab Search/Quick Search Tool/Better Search は、それぞれが約 10万件のインストール数を記録しているが、その他にも、2,000件から 70,000件規模のエクステンションが多数確認されている。
また、いくつかの不審な特徴も確認されている。たとえば、Nautilus Search のストア掲載情報には検索を追跡しないと記されているが、プライバシー・ポリシーでは IP アドレスや検索クエリ・ログの収集が明示している。
さらに Search Toggler は、検索エンジン切り替え UI を提供しているように見えるが、chrome.declarativeNetRequest.updateDynamicRules() を介して実行時のリダイレクト・ルールを注入し、実際のミドルウェア経路を静的分析から隠蔽している。さらに Fusebase Search は、レビュー数とインストール数の比率が不自然であり、レビュー操作または既存レビューの再利用が行われている可能性が示唆されている。
公開者の身元にも、一貫性が見られない。信頼できる企業所有者が記載されていないエクステンションや、プライバシー・ポリシーで無関係な組織を記載しているエクステンションも存在するため、説明責任が著しく損なわれている。
このキャンペーンが問題視される理由は、単なるアドウェアではなく実際のセキュリティ脅威へと発展し得る点にある。すべての検索クエリが、匿名の第三者へ送信されるため、ユーザーの意図や技術的な属性に対する大規模な監視が行われる可能性がある。
さらに深刻なのは、ミドルウェアを制御する運用者が、エクステンションのコードを変更することなく、また、ストアで再審査を受けることなく、センタライズされた環境からペイロードを変更できることである。その結果として、収益化を目的とした無害な検索結果をフィッシング・ページ/認証情報窃取サイト/悪意のダウンロードへと、即座に切り替えることが可能となる。
また、このキャンペーンはブローカー中心の構造を採用しているため、アフィリエイト・アカウントやホスト型検索インフラ自体を対象とする対策が実施されない限り、個々のエクステンションを削除しても効果は限定的である。
MalExt Sentry が、23件のエクステンション/22件の固有公開者/約 75.8 万人の影響ユーザー/8件の収益化ブローカーを特定したことで、技術的な帰属情報およびインジケータは明確になった。
エクステンション ID/検索 URL/hspart 値の完全なコーパスとマッピングから確認されたのは、同一のバックエンド・テンプレートが繰り返し使用されていることである。具体的には、Yahoo ホスト型検索リダイレクトで使用される yhs-* パラメータの継続的な利用や、System1/infospace 関連トラフィックの “/admin/public/link” エンドポイントなどである。
これらのアーティファクトは、プラットフォーム運営者にとって直ちに活用可能なトリアージ手段となる。彼らの求められるのは、hspart パラメータに関連付けられたアフィリエイト・パートナー認証情報の失効/シェル型パターンを示す公開者アカウントの監査および停止/中間検索エンドポイントとして利用されるドメインのブロックまたはフラグ付けである。
この問題の緩和には、協調的な対応が必要である。その一方で、Chrome Web Store などのブラウザ・エクステンション・プラットフォームは、公開者認証の強化/実行時挙動のスキャン/アフィリエイト・アカウントの監査を実施する必要がある。
また、セキュリティ・チームは、chrome_settings_overrides の変更を検出して削除し、hspart パラメータを含むリダイレクト・チェーンを調査すべきだ。それに加えて、影響を受けたユーザーに対して、検索設定のリセットおよび不審なエクステンションの削除を通知すべきである。
さらに、Nautilus Search のような、ストア掲載情報でプライバシーに関する虚偽の主張を行っているケースについて、規制当局が法的措置の根拠を見いだす可能性もある。プライバシー侵害と大規模フィッシングのリスクをもたらす SearchJack 型キャンペーンは、ブローカー・レベルの統制が強化されるまで、収益性が高く持続力のある攻撃ベクターであり続けるとみられる。
訳者後書:SearchJack と呼ばれるキャンペーンでは、ブラウザ設定を上書きする機能を悪用して、デフォルトの検索エンジンが変更されてしまいます。一見すると便利な機能を持つツールのようですが、実際にはアフィリエイト報酬を得るためのリダイレクトを行う仕組みが隠されていました。技術的な解析を難しくするために、最小限のコードだけで構成されたり、実行時にリダイレクトのルールを追加したりする工夫が施されています。このため、審査をすり抜けて多くのユーザーに広がってしまいました。Chrome Web Store の構造的な問題もあり、解決までには時間が掛かりそうです。よろしければ、Extension での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.