Chrome拡張機能スパイウェアとは何が起きたのか
2025年末から2026年にかけて、Chrome拡張機能を悪用した大規模なスパイウェア問題が発覚した。セキュリティ企業Koiの調査によれば、「ShadyPanda」と名付けられた攻撃グループが、正規の拡張機能にバックドアを仕込み、ユーザーの閲覧履歴やキーストロークを中国のサーバーへ送信していた。影響を受けたユーザーは430万人以上に及ぶ。
一方で、この種の攻撃は突然始まったわけではない。Chrome拡張機能の危険性については以前から指摘されてきたが、今回の事件はその規模と巧妙さにおいて過去最大級といえる。
ShadyPandaの手口
攻撃の手法は周到だった。まず、ユーティリティ系の正規拡張機能を買収または乗っ取る。次に、アップデートとしてスパイウェアコードをこっそり挿入する。ユーザー側から見ると、いつも使っている拡張機能が自動更新されただけに見える。
つまり、新たなインストールを必要とせず、既存ユーザーのブラウザに自動的にマルウェアが配信される仕組みだ。収集されたデータには閲覧履歴、フォーム入力内容、さらにはログイン情報まで含まれていた。たとえば、ECサイトでのクレジットカード入力や、社内ツールへのログイン操作まで記録されていた可能性がある。
影響範囲と発覚の経緯
Koiの研究チームが異常な通信パターンを検出したのが発覚のきっかけだ。特定の拡張機能が、機能に不要なドメインへ定期的にデータを送信していることを突き止めた。調査の結果、Chrome Web Storeで公開されていた複数の拡張機能にスパイウェアが仕込まれており、Microsoft Edgeのアドオンストアでも5つの拡張機能が残存していたという。
さらに、企業のセキュリティチームにとって深刻だったのは、従業員が個人的にインストールした拡張機能経由で社内データが漏洩するリスクだ。CISAのセキュリティガイドラインでもブラウザ拡張機能の管理強化が推奨されている。
Googleの対応
Googleは報告を受けて、該当する拡張機能をChrome Web Storeから削除した。しかし、削除されてもユーザーのブラウザに既にインストール済みの拡張機能は自動的には無効化されない。手動でのアンインストールが必要になる点が問題視された。
一方で、Googleは2026年に入りManifest V3への移行を加速させている。Manifest V3では拡張機能の権限が制限され、バックグラウンドでの常時通信が難しくなる設計だ。ただし、完全な対策とは言い切れず、攻撃者もV3環境への適応を進めているとの報告がある。
ユーザーが今すぐ取るべき対策
まず、インストール済みの拡張機能を棚卸しすることが最優先だ。chrome://extensionsを開いて、使っていない拡張機能は即座に削除する。
次に確認すべきは権限の範囲である。「すべてのウェブサイトのデータを読み取る」権限を持つ拡張機能は要注意だ。本当にその権限が必要かを見直し、不要なら権限を制限するか削除する。さらに、拡張機能の開発元が信頼できるかも重要な判断基準になる。個人開発者からの買収リスクを考えると、企業が運営するオープンソースの拡張機能を優先するのも一つの手だ。
加えて、CTEM(継続的脅威エクスポージャー管理)の考え方を取り入れ、定期的に拡張機能の安全性を見直す運用体制を整えたい。The Hacker Newsや主要メディアのセキュリティ記事を定期的にチェックする習慣も効果的だ。
まとめ
Chrome拡張機能のスパイウェア問題は、便利さとセキュリティリスクのトレードオフを改めて突きつけた。430万人が影響を受けた今回の事件を教訓に、拡張機能の権限管理と定期的な棚卸しを習慣化すべきだ。「入れっぱなし」が最大のリスクである。