悪意の Edge エクステンションに要注意:ネイティブ・メッセージの悪用とバックドアの展開

Malicious Edge extension abuses Native Messaging as bridge to malware

2026/06/24 BleepingComputer — 悪意の Edge エクステンション “Edgecution” を用いるランサムウェア攻撃者が、ブラウザ・サンドボックスから脱出し、Python ベースのバックドアを展開している。この攻撃におけるローカル・システムへのアクセスは、ブラウザ・エクステンションがネイティブなデスクトップ・アプリケーションと対話するための、Chrome Native Messaging プロトコルの悪用により取得される。

具体的な攻撃手法としては、パスワード・マネージャがエクステンションと通信し、Web フォームに情報を入力するケースなどが挙げられる。この手法により、ブラウザはネイティブ・アプリケーションを別プロセスとして起動し、標準入力/標準出力のデータ・ストリームを介した通信を可能にする。

Edgecution による侵害は、Microsoft Teams 上で IT サポート担当者を装う攻撃者が、スパム・フィルター更新プログラムのインストールを口実として、従業員を不正なページへと誘導するところから始まる。

この Edgecution は、Payouts Kings ランサムウェア作戦と関連する Initial Access Broker (IAB) により展開されていると、クラウド・セキュリティ企業 Zscaler の研究者は捉えている。

今回の侵害においても、偽の Microsoft “Outlook Updates Management Console” へと被害者が誘導される点で、これまでの IAB と関連付けられる手法に類似している。このサイトには、更新パックまたはソフトウェア検証用のダウンロード・ボタンが表示されている。

しかし、これらのボタンをクリックすると、悪意のコンポーネントのダウンロード/スクリプトのクリップボードへのコピー/Microsoft 365 および Outlook のパスワード入力を求めるフォームの起動などが発生する。

Fake Microsoft site
Fake Microsoft site
Source: Zscaler

Zscaler は、「これらのボタンは、AutoHotKey スクリプト/Windows バッチ・スクリプト/PowerShell スクリプトといった 3 種類の選択肢を脅威アクターに提供し、Edgecution マルウェアを展開できるようにする」と説明している。

同社は、「AutoHotKey スクリプトまたはクリップボード内のコンテンツが実行されると、コマンドによる環境設定/暗号化された ZIP ファイル・ヘッダーの操作/関連ファイルの抽出などが実行され、Microsoft Edge を実行するスケジュール済みタスクが作成される」と付け加えている。

続いて、偽の Microsoft 更新サイトから、ZIP アーカイブとしてマルウェア・コンポーネントが取得される。このアーカイブには、不正な形式のヘッダーが設定されており、セキュリティ製品による不正アーカイブとしての追跡を回避している。

研究者によると、ZIP ファイルには Python バージョン 3.13.3 が組み込まれており、その中に extension および native という 2 つのディレクトリが構成されている。これらのディレクトリが、攻撃で用いられる手法を示唆している。

最初のマルウェア・コンポーネントは、Edge Monitoring Agent を装う悪意ある Microsoft Edge エクステンションである。このエクステンションは、攻撃者のコマンド&コントロール (C2) エンドポイントへ接続し、実行指示を受信して、その結果をオペレーターへ送信する。

Edgecution マルウェアは、ヘッドレスの Edge ブラウザ内で実行される。また、Chrome の Native Messaging プロトコルを使用して、ローカル・アプリケーションと通信するが、ユーザーからは見えない。

このエクステンションの動作は、ブラウザのサンドボックス内に制限されるが、攻撃者は第 2 のマルウェア・コンポーネントを通じて、この制限を回避する。それにより、ホスト・レベルの実行役として機能する、Python ベースのバックドアが成立する。

このコンポーネントは、悪意のエクステンションから中継されたコマンドを受信し、以下のジョブをシステムに対して要求する可能性がある。

  • シェル・コマンドの実行
  • PowerShell の実行
  • 任意の Python コードの実行
  • ホスト上へのファイル書き込み
  • 実行中プロセスの列挙
  • システム情報の収集

一連のスクリプトの役割は、悪意のエクステンションが Python バックドアを起動する手段の提供にある。この操作は、native ディレクトリ内に、エクステンションが呼び出すバッチ・ファイルを作成することで実現される。

さらに、Chrome Native Messaging manifest も作成されるが、その中には、ネイティブ・アプリケーションにブラウザが接続する方法が記述されている。

いずれのマルウェア・コンポーネントにおいても、将来のバージョンで有効化される可能性がある未使用コマンドが含まれていると、Zscaler は分析している。

研究者は、「Edgecution が用いる手法が示すのは、侵害をランサムウェア作戦と結び付けるための、脅威アクターの高度な進化である。つまり、侵害したホスト上で永続化を確立できる」と警告している。

ユーザー組織に推奨されるのは、ブラウザ・エクステンションの監視の強化/Native Messaging host のコンフィグに対する厳格な制御の強制であり、それにより侵害リスクを低減することである。

Zscaler のレポートが提供する侵害の指標 (IoC) リストには、Edgecution が使用するコマンド&コントロール・サーバおよび、悪意のエクステンションのハッシュ、Python バックドアのハッシュなどが含まれている。