--- title: Chrome拡張のマルウェア動向 tags: #セキュリティ #脆弱性管理 #extensions #マルウェア author: [はるきち](https://image.docswell.com/user/7847837919) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/5EGL1Q95JL.jpg?width=480 description: 内部勉強会での発表資料です。 リンク集 Koi Security https://www.koi.ai/blog/vk-styles-500k-users-infected-by-chrome-extensions-that-hijack-vkontakte-accounts Google Chrome ウェブストア利用規約(2026年5月現在) https://ssl.gstatic.com/chrome/webstore/intl/ja/gallery_tos.html マルウェア解析ツール(GuardExt) https://chromewebstore.google.com/detail/guardext/okofagphbpbgnennblfkgdlclfmkadie published: May 22, 26 canonical: https://image.docswell.com/s/7847837919/ZMQV7G-2026-05-22 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/5EGL1Q95JL.jpg) 社内向け勉強会 Chrome拡張のマルウェア動向 開発者が知っておくべき、拡張機能という名のバックドア 株式会社バラエナテック 幸⽥ 将司 2026/05/22 # Page. 2 ![Page Image](https://bcdn.docswell.com/page/4JQYDKWL7P.jpg) Who am I? 幸⽥将司(こうだまさし) セキュリティのフリーランスしてます Join: 最近やったこと 執筆: ● 株式会社BalaenaTech 代表取締役 ● 脆弱性診断⼠のキャリアデザインガイド(2025年2⽉) ● 株式会社Levii ● ASM導⼊検討を進めるためのガイダンス(2024年11⽉) ● SecuriST(R)認定Webアプリケーション脆弱性診断⼠試験委員 ● 脆弱性トリアージガイドライン作成の⼿引き(2024年5⽉) ● SecuriST(R)認定ネットワーク脆弱性診断⼠試験委員 ● CEH/CND認定インストラクター ● ISOG-J (⽇本セキュリティオペレーション事業者協議会) …etc 書籍: ● セキュリティエンジニアの知識地図(技術評論社) # Page. 3 ![Page Image](https://bcdn.docswell.com/page/K74WZPK5E1.jpg) Chrome拡張機能(Chrome Extensions) ができること Chrome Extensions Google Chromeブラウザに機能を追加し、使い勝⼿を向上 させる⼩さな追加アプリ、Microsoft Edgeでも利⽤可能 Chrome Extensionsができること ・Web上のスクレイピング(データ収集) ECサイトの商品情報など、データを自動で抽出して CSV化。(規約違反に要注意) ・通信の解析 ブラウザの通信を Burp Suiteなどのプロキシに送信す ることができる 偽AIアシスタント等の悪意のあるExtentions悪⽤事例が急増 ・定型文の高速入力(スニペット) # Page. 4 ![Page Image](https://bcdn.docswell.com/page/LJ1YR9X2EG.jpg) Chrome Extensionsの構成 manifest.json(設定‧権限): { "manifest_version": 3, "permissions": ["cookies", "webRequest"], "host_permissions": ["<all_urls>"], "background": { "service_worker": "background.js" } } ● permissions(権限) ○ cookieやリクエスト等の操作可能範囲の定義 ● host_permissions ○ どのURL(オリジン)で操作できるか定義 ○ 拡張機能からの通信も含む ○ <all_urls>ならブラウザの全ての画⾯ ● background ○ バックグラウンド処理の定義 ○ minify(軽量化)や obfuscator(難読化)されていることもある # Page. 5 ![Page Image](https://bcdn.docswell.com/page/GJWG1QN272.jpg) 😈わるいExtensionsができること 通信改ざん(Man-in-the-Browser) リクエスト‧レスポンスの書き換え 情報窃取 ログインや決済処理で流れるセッションも盗聴できる document.cookie を攻撃者サーバーへ送信 👉ChatGPT等のログインセッションを奪取 👉 "webRequestBlocking" があると強⼒に実現可能 保存パスワード‧トークン‧閲覧履歴の取得 👉 特に "cookies" / "webRequest" / "tabs" 権限は要注意 DOM改ざん XSSが可能、攻撃者の外部スクリプトを実⾏して バックドア化‧持続化 画⾯を書き換えてフィッシングや⾦融機関で不正な振り込み ⾃動アップデートで悪性コード注⼊ インストール後にコード変更(サプライチェーン攻撃) 👉 "host_permissions": ["<all_urls>"] は危険度⾼ ※hostが固定されていても攻撃可能 👉 最初は安全 → 後から悪化がよくあるパターン # Page. 6 ![Page Image](https://bcdn.docswell.com/page/4EZLPW3473.jpg) 😈わるいExtensionsができること 通信改ざん(Man-in-the-Browser) リクエスト‧レスポンスの書き換え 情報窃取 ログインや決済処理で流れるセッションも盗聴できる document.cookie を攻撃者サーバーへ送信 👉ChatGPT等のログインセッションを奪取 👉 "webRequestBlocking" があると強⼒に実現可能 保存パスワード‧トークン‧閲覧履歴の取得 DOM改ざん ブラウザ由来の操作はほぼ可能になる 👉 特に "cookies" / "webRequest" / "tabs" 権限は要注意 履歴を削除されると追跡も難しい... XSSが可能、攻撃者の外部スクリプトを実⾏して バックドア化‧持続化 画⾯を書き換えてフィッシングや⾦融機関で不正な振り込み ⾃動アップデートで悪性コード注⼊ インストール後にコード変更(サプライチェーン攻撃) 👉 "host_permissions": ["<all_urls>"] は危険度⾼ ※hostが固定されていても攻撃可能 👉 最初は安全 → 後から悪化がよくあるパターン # Page. 7 ![Page Image](https://bcdn.docswell.com/page/Y76WMGXG7V.jpg) ストア審査を欺く「時間差攻撃」 Extensionsの登録にはストア審査が必要だが... Chrome Web Storeのアップデート時の審査が 初回ほど厳格ではない隙を突いた攻撃が可能☝ サプライチェーン攻撃 攻撃者が優良で⼈気の拡張機能を買収し、 信頼が蓄積された後にアップデートで悪意あるコードを注⼊ Googleのバッジがついていても悪⽤されている 難読化と動的読み込み ⼀⾒無害なコードに隠し、 特定サイト(AIサービス/⾦融機関/仮想通貨関連)でのみ発動 するようにロジックを隠蔽 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/G75MZVXX74.jpg) VKontakte(ロシアのSNS)の被害事例 概要: VKカスタマイズツールに⾒えるChrome Extentions(VKStyles: ceibjdigmfbbgcpkkdpmjokkokklodmc)を通じて50 万⼈のVKontakteユーザーのアカウントが、乗っ取られる。設定は30⽇ごとにリセットされ、本⼈が選択した覚えのな いグループに⾃動的に登録されていた。2026年5⽉現在はWebStoreから削除、派⽣Extentionsは存命。 マルウェアの⼿法: ユーザーがExtentionsをインストール ↓ VKにログイン時にExtentionsがVKの特定アカウントへ勝⼿にアクセス ↓ VKの特定アカウントのプロフィールにC2のアドレス(GitHub)を記載 ↓ GitHubのリポジトリからJavaScriptの実⾏ファイルをDL VK(VKontakte) || FacebookのようなSNS # Page. 9 ![Page Image](https://bcdn.docswell.com/page/9J29R3XQER.jpg) 出典: Koi Security | https://www.koi.ai/blog/vk-styles-500k-users-infected-by-chrome-extensions-that-hijack-vkontakte-accounts マルウェアの挙動詳細 以下はExtensionsに含まれるコード ①パターンパッチング回避 マルウェアは実⾏時にメトリックIDを計算することで、静的 解析ツールの単純なパターンマッチングを回避。 'R-A-' + 843079 * 2 // Evaluates to: R-A-1686158 ↑は以下と同じようによう≠にふるまう。 ②C2の接続先⼊⼿ eval(e) // eはGitHubから取得したペイロードが渡される 攻撃者のVKプロフィールにアクセスし、メタタグからC2の アドレスを取得する →VKはhost_permissionsで許可されている ③C2からペイロードを取得 GitHubアカウント「2vk」に誘導され、難読化された JavaScriptを実⾏する →GitHubはhost_permissionsで許可されている マルウェアの流れ # Page. 10 ![Page Image](https://bcdn.docswell.com/page/DEY4D18YJM.jpg) マルウェアの機能 拡張機能コードにURLをハードコーディングしない: 検出とブロックがより困難 動的なアップデート: 攻撃者はVKプロファイルを編集することでペイロードを変更できる(30⽇でリセット) 正当なインフラストラクチャ: VK.com⾃体がC2調整機能を提供している 不審な外部ドメインがない: すべてVKトラフィックかGitHubへのアクセス ただし、GitHubのリポジトリにペイロードが残るため、検体の追跡を許してしまう 正常なセッションを使⽤する: CSRFトークン及びVKの正規セッションを使⽤している ☞ドロッパー(Extensions本体)を使⽤したり、C2との通信をHTTPに偽装する⼿段はよくあるマルウェアの挙動に近い # Page. 11 ![Page Image](https://bcdn.docswell.com/page/VJNY62QR78.jpg) AI(Claude Code)を活⽤したマルウェア解析 解析⽤チェックリストの⾃動⽣成とフロー AIに⾷わせる 権限レベル設定 最新の攻撃⼿法(APT)を Claude Codeに 調整と実⾏ 教えた内容で期待値が出なけれ ドキュメント化しNotebookLMで 「危険な権限のレベル設定」と「不 ば、プロンプト等を調整。 AIにインプット 審なコードパターンの定義」を指⽰ 公開されたブロックリストを調査し て⾃動更新(できると嬉しい) 「適切な指⽰」さえできれば1からマルウェア解析も可能☝ # Page. 12 ![Page Image](https://bcdn.docswell.com/page/YE9PL1DZJ3.jpg) Chrome Web Storeの利⽤規約に注意 Chrome Web Storeの規約では、ソースコードの抽出を含めた リバースエンジニアリングの⾏為が禁⽌されているため、ロジックの静的解析が難しい 通信先のレピュテーション確認 と manifest.jsonの調査は可能...? 出典: Google Chrome ウェブストア利⽤規約| https://ssl.gstatic.com/chrome/webstore/intl/ja/gallery_tos.html # Page. 13 ![Page Image](https://bcdn.docswell.com/page/GE8DX45YED.jpg) Claudeが作成したマルウェア調査をするExtensions GuardExt(がーどえくすと) インストールされているブラウザ拡張機能を全てスキャンし、 潜在的なセキュリティリスクを可視化 リスクレベルと その理由が⼀⽬でわかる これは何をしてるの? 以下をチェックします ‧ 過剰なhost_permissionsを要求している(<all_urls>など) ‧"permissions" が過剰 ‧Chrome Web Storeに存在しない(サイドロード) ‧マルウェアとして報告されているかチェック ネットニュース (やじうまの杜)に 掲載されました🎉 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/LELM86Y97R.jpg) Thank You! Extensionsにお困りの⽅は弊社にご相談ください GuardExtはChrome Web Storeからインストールできます https://chromewebstore.google.com/detail/guardext/okofagphbpbgnennblfkgdlclfmkadie