（写真提供：iStock）

　企業の業務OSとして、もはや不可欠な存在となったWebブラウザ。SaaS（Software as a Service）全盛の今、ブラウザの使い勝手はユーザーの生産性に直結する。その利便性をさらに高めるのが「拡張機能（アドオン）」だが、実はこれが企業のセキュリティ境界を内側から食い破る「最大の抜け穴」となり得る危険が指摘されている。 　2025年1月、Informa TechTargetはセキュリティベンダーであるCyberhavenの拡張機能が攻撃者に侵害され、脅威キャンペーンに悪用されたと報じた。セキュリティのプロが作る製品ですら乗っ取られるという事実は、もはや「信頼できるベンダーだから」「公式ストアの審査を通っているから」という理屈が通用しないことを突きつけている。 　さらに衝撃を与えたのが、7年間にわたり430万以上のブラウザを感染させたとされる「ShadyPanda」キャンペーンの全貌だ。彼らの手口は巧妙かつ悪質で、従来の防御網を完全に無効化するものだった。 　本稿では、これらの2025年を象徴する事件からブラウザ拡張機能に潜む「管理不能リスク」の正体を解き明かし、企業が取り組むべき対策を提言する。

7年の潜伏と「善人」演技

　拡張機能による被害は、従業員が「怪しいファイル」をダウンロードしたから起きるのではない。ユーザー、そして管理者である情シス担当者が「安全だ」と判断してインストールした正規のツールが、ある日突然、牙をむくのだ。 　ShadyPandaキャンペーンにおいて攻撃者が取った戦略は、気の遠くなるような「長期戦」だった。彼らはまず、壁紙変更アプリやPDF変換ツールといった無害で便利な拡張機能をリリースした。これらは実際に機能し、「Chromeウェブストア」やMicrosoft Edgeの拡張機能ストアの審査を正規の手順で通過していた。 　数年かけてユーザー数を増やし、ストアでの高評価レビューと「検証済みバッジ」を獲得する。この段階では、どのセキュリティソフトでスキャンしても「白（安全）」と判定される。情シス部門が導入時にセキュリティ審査を行っていたとしても、この時点では「許可」の判断を下すだろう。ここに最大の罠がある。