ブラウザ拡張機能に潜む、見えないサイバーセキュリティリスク
2026年2月25日、Tony Burgess
日常的に利用するアドオンが、気が付かないうちにセキュリティを脅かす仕組み
要点
- ブラウザ拡張機能はブラウザ内部に広範なアクセス権を持つため、サイバー犯罪者にとって魅力的な標的となっています。
- 最近のサイバー攻撃の多くはサプライチェーン侵害によるもので、これまで信頼して使っていた拡張機能が、数か月あるいは数年後に悪意あるものへと変貌するケースが増えています。
- 悪意ある拡張機能は、情報収集、データ窃取、ブラウザハイジャック、詐欺、さらには企業スパイ活動にまで利用されており、その多くが大規模に展開されています。
- 公式ストアに掲載され、高評価や「おすすめ」バッジが付いている拡張機能でも悪用されているケースがあります。
- 拡張機能の乱立を抑え、権限を監査し、拡張機能をソフトウェア資産として扱うことが、リスクを抑えるために重要です。
ブラウザ拡張機能は、Webをより便利に利用できるように作られています。広告ブロッカーやパスワードマネージャーから、AIサイドバーや生産性向上ツールまで、拡張機能はワンクリックでさまざまな便利機能を提供します。しかし、その利便性はサイバーセキュリティ上の脆弱性と表裏一体でもあります。攻撃者は、これらの脆弱性をますます悪用するようになっています。
最近の調査から、悪意あるブラウザ拡張機能は、もはや例外的な脅威や軽微な迷惑行為ではなくなっていることが明らかになっています。現在、悪意ある拡張機能は、何百万人ものユーザーを監視し、機密データを窃取し、組織のセキュリティを密かに侵害する能力を備えた、拡張性と秘匿性の高い攻撃ベクトルとして機能しています。
ブラウザ拡張機能の仕組みと脆弱である理由
技術的に見ると、ブラウザ拡張機能には高い権限が付与され、動作しています。インストール時にユーザーが承認した設定によっては、拡張機能は、Webページの読み取りや変更、タブを横断したアクティビティの追跡、セッションデータへのアクセス、さらにはWebベースのアプリケーションとの直接的な連携も可能になります。
そのアクセス権が、拡張機能を強力にしています。しかし同時に、これが潜在的なリスクの根源にもなっています。拡張機能は一度インストールされると、通常、バックグラウンドで常駐し、自動的に更新されます。ユーザーが権限設定を見直したり、更新内容を細かく確認したりすることはほとんどありません。そのため、拡張機能は長期間にわたり盲目的に信頼され、攻撃者に悪用される可能性があります。
従来のマルウェアとは異なり、悪意ある拡張機能はソフトウェアの脆弱性を攻撃する必要がありません。ブラウザのルールの範囲内で、ユーザーがすでに付与した権限のもとで動作します。
拡張機能を悪用した攻撃による影響
悪意あるブラウザ拡張機能は、機密データの窃取、認証情報の収集、ユーザー行動の追跡、さらにはブラウザ内でのコンテンツの挿入や改ざんまで行うことができます。つまり、ブラウザ自体を、広範な攻撃の起点へと変えることができます。
拡張機能は、ユーザーが認証し、SaaSアプリケーションにアクセスし、機密性の高い業務を処理するブラウザ内部に存在しています。そのため攻撃者は、従来型のマルウェアを展開することなく、監視、セッションハイジャック、詐欺、企業スパイ活動を実行できます。
多くの場合、被害者に警告が表示されることはありません。拡張機能は「正常に動作している」ように見せかけながら、ユーザーに気付かれることなく、攻撃者が管理するインフラへデータを送り続けます。
実際の攻撃事例が示す問題の深刻さ
最近の報道は、これらの脅威がいかに広範囲に及んでいるかを浮き彫りにしています。
2025年半ば、Malwarebytesは、公式のChromeおよびEdgeストアで配信されていた悪意ある拡張機能によるキャンペーンを報告しました。このキャンペーンでは、数百万人規模のユーザーが監視されていました。これらの拡張機能は正規の機能を提供し、多数の好意的なレビューを集め、さらに認証バッジやおすすめ表示も獲得していました。その後、研究者たちは初めて、アップデートを通じて悪意あるコードが挿入され、これまで信頼されていたツールが監視マルウェアへと変貌していたことを突き止めました。
さらに最近では、研究者が、AI生産性向上ツールを装ったChrome拡張機能を発見しました。これらの拡張機能は、密かに、ChatGPTやDeepSeekなどのプラットフォーム上の会話内容や閲覧履歴を収集していました。これは、消費者にとってプライバシーの侵害を意味します。企業にとっては、専有のソースコード、機密研究、あるいは重要なビジネス情報が流出する可能性があります。
DarkSpectreのような長期間にわたって実行されるキャンペーンは、この手法をさらに推し進めています。中には、5年以上にわたって無害な状態を維持した後に武器化された拡張機能もありました。攻撃者はその期間中に大規模なインストール基盤を構築し、一定数のユーザーを確保してから攻撃を仕掛けています。
ブラウザレベルのサプライチェーン攻撃
これらのインシデントを特に深刻にしている要因の一つは、サプライチェーンです。
インシデントに関与していた拡張機能の多くは、最初から悪意のあるものではありませんでした。所有者や開発者が変更され、アップデートによって危険な拡張機能へと変化しています。ユーザーから見た場合、これらの拡張機能に何も変化はありません。アップデートは、これまでと同様にサイレントインストールされています。
「拡張機能が長期間にわたってWebストアで公開されている場合、サイバー犯罪者はアップデートを通じて悪意あるコードを組み込むことが可能です。一部の研究者は、このような一見クリーンな拡張機能をスリーパーエージェントと呼んでいます。これらのスリーパーエージェントは、将来の悪意ある活動の基盤となります。」
— Malwarebytes [socradar.io]
この手法は、他で見られるソフトウェアのサプライチェーン攻撃と似ていますが、監視や統制はまったく十分ではありません。
ダウンロード数、評価、公開されている期間の長さといった「信頼の指標」は、もはや安全性を保証するものではありません。
悪意ある拡張機能から自分を守る方法
拡張機能を完全に排除することは現実的ではありませんが、個人や組織がリスクを軽減するために実践できる対策はいくつかあります。
- 拡張機能を減らす。拡張機能を追加するたびに攻撃対象領域は広がります。頻繁に使用していない拡張機能は削除してください。
- 定期的に拡張機能を確認する。特に長期間利用している拡張機能や、最近アップデートや所有者が変更された拡張機能には注意してください。
- 権限を精査する。明確で合理的な理由がないにもかかわらず、広範なアクセス権限を求めるツールには警戒しなければならなりません。
- 業務用と個人用のブラウジング環境は分けて管理する。業務用ブラウザの拡張機能を制限することで、組織全体のリスクを大幅に低減できます。
- 拡張機能をソフトウェア資産として扱う。企業は、拡張機能を資産として管理し、ガバナンスと定期的なレビューを実施し、盲目的に信頼しないことが重要です。
さらに、Barracuda Managed XDRのようなAIを活用して強化されたXDRソリューションを導入すれば、社内ITの負担を増やすことなく、さまざまなインシデントを検知・対応する能力を向上できます。
信頼は築き上げるもの-しかし、同時に失われる可能性も
ブラウザ拡張機能は、認証やコラボレーション、機密データのやり取りが行われる現代のデジタル業務の中心的役割を担っています。そのため、ユーザーに気づかれることのない継続的なアクセスを狙う攻撃者にとって、ますます魅力的な標的となっています。
最近の攻撃から得られる教訓は明確です。これまで安全だったからといって、今日も安全であるとは限りません。現在の脅威環境では、サプライチェーン侵害が常態化しており、信頼は継続的に再評価されなければなりません。そうでなければ、その信頼は必ず悪用されます。
Barracuda Managed XDRについての詳細はこちら
原文はこちら:
The hidden cybersecurity risk lurking in your browser extensions
Feb. 25, 2026Tony Burgess
https://blog.barracuda.com/2026/02/25/hidden-cybersecurity-risk-browser-extensions
