Koi Securityの研究者が発表した調査によると、RedDirectionと呼ばれるブラウザハイジャック攻撃により、ChromeとMicrosoft Edgeで合計230万人のユーザーが感染した。この攻撃は18の拡張機能を通じて実行され、Chrome用が11個、Edge用が7個である。
攻撃の中心となったのは「Color Picker, Eyedropper — Geco colorpick」という拡張機能で、10万回以上ダウンロードされ、Chrome Web Storeで800件以上のレビューと5点満点中4.2点の評価を獲得していた。Microsoft Edge Add-onsでも1000人以上のユーザーから評価を受けており、Googleの認証バッジも表示されていた。
Koi SecurityのアナリストであるIdan Dardikmanが調査を主導し、これらの拡張機能が最初からマルウェアを含んでいたわけではなく、アップデート時に悪意のあるコードが追加されたことを明らかにした。拡張機能は絵文字キーボード、天気予報、動画速度コントローラー、DiscordやTikTok用VPNプロキシ、ダークテーマ、音量ブースター、YouTubeアンブロッカーなどの機能を提供していた。これらの拡張機能はユーザーのブラウジング活動を監視し、URLを取得してadmitclick.netやclick.videocontrolls.comなどの攻撃者が制御するリモートサーバーに送信していた。
From: 
Massive browser hijacking campaign infects 2.3M Chrome, Edge users
【編集部解説】
今回のRedDirection攻撃は、従来のマルウェア配布手法とは根本的に異なる巧妙な仕組みを採用しています。最も注目すべき点は、これらの拡張機能が最初から悪意のあるコードを含んでいたわけではなく、正当な機能を提供する期間を経て、後からアップデートを通じて悪意のあるコードが注入されたことです。
この手法の技術的な仕組みを詳しく説明すると、攻撃者はChrome Extensions APIのbackground service workerを悪用し、ユーザーが新しいウェブページに移動するたびにトリガーされるリスナーを登録していました。このリスナーがアクセスしたURLを取得し、ユーザー固有の追跡IDと共に攻撃者が制御するリモートサーバーに送信する仕組みとなっています。攻撃者は「静かなバージョンアップ」という手法を採用し、ユーザーが気づかないうちに悪意のあるコードを注入しました。
特に深刻なのは、GoogleやMicrosoftの自動アップデートシステムが、ユーザーの承認や操作を必要とせずに最新バージョンを静かに展開してしまうことです。これにより230万人のユーザーが、何もクリックすることなく悪意のあるコードに感染したのです。
この攻撃手法が示すより広範な影響について考えてみましょう。従来のセキュリティ対策は、初期インストール時の審査に重点を置いていましたが、今回の事例は「信頼された後の裏切り」という新たな脅威モデルを浮き彫りにしています。
ブラウザ拡張機能のエコシステムにおける構造的な問題も明らかになりました。現在のシステムでは、一度承認された拡張機能のアップデートに対する継続的な監視が不十分であり、攻撃者がこの隙を突いて長期間にわたって活動を続けることが可能となっています。
規制面での影響も無視できません。この事件を受けて、ブラウザベンダーは拡張機能の審査プロセスを根本的に見直す必要に迫られるでしょう。特に、アップデート時の動的解析や行動監視の強化が求められています。
長期的な視点では、この攻撃手法の成功により、類似の攻撃が増加する可能性が高いと考えられます。実際に、2025年2月にはGitLab Threat Intelligenceが16の拡張機能による320万人への感染を報告しており、この手法が既に広く採用されていることが確認されています。
ポジティブな側面として、この事件により業界全体のセキュリティ意識が向上し、より堅牢な拡張機能エコシステムの構築に向けた取り組みが加速することが期待されます。また、ユーザー側でも拡張機能の権限管理に対する理解が深まることで、全体的なセキュリティレベルの向上につながる可能性があります。
しかし、最も懸念すべきは、この攻撃手法が「信頼の武器化」という新たな脅威パラダイムを確立したことです。今後は、単に初期の安全性を確認するだけでなく、継続的な監視と検証が不可欠となり、セキュリティ対策のコストと複雑性が大幅に増加することが予想されます。
【用語解説】
ブラウザハイジャック
ウェブブラウザの設定や動作を無断で変更し、ユーザーの意図しないウェブサイトへリダイレクトしたり、検索結果を操作したりする攻撃手法である。
バックドア
システムに不正アクセスするための隠された入り口で、攻撃者が後から侵入できるよう仕込まれる仕組みである。
C2サーバー(Command and Control)
攻撃者がマルウェアに感染したデバイスを遠隔操作するために使用する指令制御サーバーである。
サイレントアップデート
ユーザーの許可や通知なしに自動的に実行されるソフトウェアの更新である。
RedDirection
今回発見された大規模ブラウザハイジャック攻撃の作戦名。18の拡張機能を使用して230万人のユーザーを標的とした。
【参考リンク】
Koi Security(外部)
今回の調査を実施したサイバーセキュリティ企業。マーケットプレイスから配布されるソフトウェアのリスク評価と管理を専門とする。
Chrome Web Store – Geco Color Picker(外部)
問題となった拡張機能の公式ページ。現在も800件以上のレビューと4.2点の評価を維持している。
GitLab Threat Intelligence(外部)
2025年2月に類似の拡張機能攻撃を報告したGitLabのセキュリティ部門。
【参考記事】
18 Malicious Chrome and Edge Extensions Disguise as Productivity Tools(外部)
同じ攻撃について技術的な詳細を含めて解説した記事。C2サーバーの仕組みや感染プロセスを詳述している。
Malicious Chrome and Edge Extensions Infect 2.3 Million Users(外部)
admitclick.netなどのC2サーバーの詳細と攻撃手法について技術的な分析を提供している。
11 Google-Verified Chrome Extensions Infected Over 1.7 Million Users(外部)
Chrome拡張機能に焦点を当てた分析記事。Google認証済み拡張機能の脆弱性について詳しく解説している。
Tech Note – Malicious browser extensions impacting at least 3.2 million users(外部)
GitLab Threat Intelligenceによる2025年2月の類似攻撃の詳細レポート。
Over 3.2 Million Users Hit by Malicious Chrome Extensions in Major Cyberattack(外部)
2025年2月の別の大規模拡張機能攻撃について報じた記事。
【編集部後記】
今回のRedDirection攻撃は、私たちが日常的に使っているブラウザ拡張機能の安全性について、改めて考えさせられる事案でした。皆さんは現在、どのような拡張機能をインストールされていますか?そして、それらの権限設定を最後に確認したのはいつでしょうか。この事件で特に印象的だったのは、攻撃者が「信頼」を武器として使った点です。正当な機能を提供し続けながら、アップデートのタイミングで静かに悪意のあるコードを忍び込ませる手法は、従来のセキュリティ対策では防ぎきれません。私たちinnovaTopia編集部も、この記事を通じて改めて自分たちの拡張機能を見直すきっかけをいただきました。読者の皆さんと一緒に、便利さとセキュリティのバランスについて考えていければと思います。皆さんはこの事件を受けて、どのような対策を取られますか?
