430万人被害の「ブラウザ拡張機能」汚染 7年潜伏、ある日突然牙をむく
自動更新が悪意を運ぶ「時限爆弾」
ユーザー数が430万人に達した段階で、攻撃者は動いた。拡張機能の「自動更新」機能を利用し、悪意あるコードを一斉に配信したのだ。ShadyPandaのケースでは、正規の機能更新に見せかけて「リモートコード実行(RCE)バックドア」が仕込まれた。 このバックドアは、攻撃者のC&C(コマンド&コントロール)サーバから任意の「JavaScript」スクリプトをダウンロードし、実行する機能を持つ。これにより、攻撃者はいつでもブラウザの制御を奪い、閲覧履歴の収集、入力内容のキーロギング、画面のキャプチャーなどを自在に行えるようになった。ユーザーや管理者が気付かない間に、昨日までの「便利ツール」が、今日から「スパイウェア」に変貌していたのである。
セキュリティベンダーすら被害者に
この「後から悪性化する」リスクは、最初から悪意を持って作られた拡張機能に限らない。Informa TechTargetが報じた事例では、数十のChrome拡張機能が侵害されたが、その中にはデータ損失防止(DLP)ソリューションを提供するCyberhavenの製品も含まれていた。 攻撃者は、正規の開発者のアカウントを何らかの方法で乗っ取り、正規のアップデートパイプラインを通じて悪意あるコードを配信したと見られる。これはサプライチェーン攻撃の一種であり、どんなに信頼できるベンダーの製品であっても、開発者のアカウント管理に不備があれば、世界中のユーザー企業にマルウェアをばら撒く加害者になり得ることを意味している。
ただのマルウェア感染ではない「3つの致命傷」
拡張機能がマルウェア化した場合、具体的にどのような被害が企業を襲うのか。従来のマルウェア感染とは異なり、ブラウザ拡張機能は「認証の壁」の内側で活動するため、経営に直結する深刻なリスクをもたらす。 1. ガバナンス崩壊と経済安全保障リスク ShadyPandaキャンペーンで特に懸念されたのが、窃取されたデータの送信先だ。これまでの報道によれば、閲覧履歴や検索クエリといったデータが、中国にあるサーバへ送信されていたという。 日本企業にとって、これは単なる情報漏えいではない。自社の技術情報、M&Aに関する検討資料、あるいは政府機関とのやりとりなどが、特定の国家へ筒抜けになっていた可能性があるのだ。経済安全保障の観点からも、ブラウザ内の情報を「誰が」「どこへ」持ち出しているかを把握できない状態は、ガバナンスの完全な欠如と言わざるを得ない。 2. 認証の無力化とSaaS乗っ取り 現代の企業セキュリティの要であるMFA(多要素認証)も、悪意ある拡張機能の前では無力化される恐れがある。ニュースメディアThe Hacker Newsが公開したリスクガイドによると、拡張機能はブラウザ内で特権的な動作が許可されており、ユーザーがログイン済みのWebサービスの「セッションCookie」にアクセスできる場合がある。 攻撃者は盗み出したセッションCookieを使い、自分の環境で対象のSaaS(Salesforce、Microsoft 365、Slackなど)になりすましログインを行う。この際、正規のセッションを再利用するため、ID・パスワードの入力も、MFAの通過も必要ない。情シス担当者の管理画面上では「正規ユーザーによるアクセス」としか記録されず、侵害に気付くのは極めて困難だ。 3. 生成AIリスクの増大 昨今の生成AIブームも、攻撃者にとっては格好の狩り場となっている。「ChatGPTの機能を拡張する」「DeepSeekと連携する」といった謳い文句の偽拡張機能が急増しており、その中には入力されたプロンプト(指示文)や、AIからの回答データを外部サーバに送信するものが紛れ込んでいる。 業務効率化のために社員が良かれと思って導入したAI支援ツールが、実は会議の議事録や顧客データ、ソースコードといった機密情報をC&Cサーバへ「全送信」していた――そんな悪夢のような事態が現実に起きている。これらの通信も、HTTPSで暗号化された通常のWebトラフィックに紛れ込むため、従来のファイアウォールやWebフィルタリングでは遮断が難しい。
